Google łata 8. zero-day w Chrome w 2025 r. – pilna aktualizacja przeglądarki

Wprowadzenie do problemu / definicja luki

Google wydał awaryjną aktualizację Chrome, aby załatać kolejną podatność aktywnie wykorzystywaną w atakach. To ósmy zero-day naprawiony w 2025 r. Od strony publicznej luka jest na razie oznaczona wyłącznie identyfikatorem zgłoszenia w Chromium 466192044 („under coordination”), bez przypisanego CVE. Aktualizacja trafiła do Stable Desktop 143.0.7499.109/.110 (Windows/macOS) i 143.0.7499.109 (Linux).

W skrócie

• Co się stało? Google potwierdził wykorzystywanie exploita „in the wild” dla błędu 466192044 i wypuścił łatkę w kanale Stable.
• Status informacji: szczegóły techniczne i CVE są tymczasowo utajnione do czasu zaktualizowania większości użytkowników.
• Wersje bezpieczne: 143.0.7499.109/.110 (Win/macOS) oraz 143.0.7499.109 (Linux).
• Kontekst: to już 8. zero-day w Chrome w 2025 r.; wcześniejsze m.in. CVE-2025-13223, CVE-2025-10585, CVE-2025-6558.

Kontekst / historia / powiązania

Rok 2025 jest jednym z najbardziej intensywnych pod względem zero-day w Chrome. Wcześniejsze ataki obejmowały m.in.:

• CVE-2025-13223 (V8 type confusion) – dodany do katalogu CISA KEV 19 listopada 2025 r.
• CVE-2025-10585 (V8 type confusion) – CISA dodała do KEV we wrześniu 2025 r.
• CVE-2025-6558 (ANGLE/GPU improper input validation) – w KEV od lipca 2025 r.

Analiza techniczna / szczegóły luki

Google nie ujawnia jeszcze komponentu ani wektora błędu 466192044 (standardowa praktyka ograniczająca ryzyko reverse engineeringu łatki). Według relacji prasowych opartych o wpis w bugtrackerze Chromium (częściowo niedostępny publicznie) problem ma dotyczyć LibANGLE (warstwa translacji OpenGL ES → Direct3D/Vulkan/Metal); ma to być przepełnienie bufora w rendererze Metal, skutkujące korupcją pamięci, awariami, wyciekiem danych lub potencjalnym wykonaniem kodu. Traktujemy to jako wstępne dane do potwierdzenia, dopóki Google nie opublikuje pełnej noty.

Stan publikacji Google: w notce „Stable Channel Update for Desktop” Google podaje jedynie, iż „Google is aware that an exploit for 466192044 exists in the wild” i iż szczegóły pozostają „under coordination”. Lista CVE w tym wydaniu zawiera inne średnio-krytyczne błędy (m.in. w Password Manager i Toolbar), ale bez CVE dla 466192044.

Praktyczne konsekwencje / ryzyko

• Ryzyko RCE / sandbox escape: jeżeli faktycznie dotyczy to ścieżki grafiki (ANGLE/Metal), wektor ataku może być bezplikowy przez stronę WWW (złośliwy WebGL/Canvas), co ułatwia masową dystrybucję przez reklamę/iframe. (Wniosek analityczny na podstawie charakteru wcześniejszych luk ANGLE/V8). Potwierdzenie zależy od pełnej publikacji.
• Zasięg: narażeni są użytkownicy Chrome na desktopach oraz pośrednio inne przeglądarki oparte na Chromium (Edge, Brave, Opera) do czasu wydania ich aktualizacji.
• Expedytacja patchy: zero-dayy Chrome są często gwałtownie weaponizowane, a okno ekspozycji po publikacji łatki (tzw. patch gap) bywa szczególnie niebezpieczne w środowiskach, gdzie restart przeglądarki jest opóźniany.

Rekomendacje operacyjne / co zrobić teraz

1. Zaktualizuj Chrome do 143.0.7499.109/.110 i wymuś restart. W Enterprise zastosuj polityki AutoUpdateCheckPeriodMinutes=60, RelaunchNotification=2, RelaunchWindow. Zweryfikuj wersje przez chrome://version.
2. Włącz blokady tymczasowe dla komponentów zależnych od grafiki 3D (np. ograniczenie WebGL w krytycznych stacjach roboczych) – środek ostrożności do czasu publikacji pełnych detali (opcjonalnie przez politykę HardwareAccelerationModeEnabled=false). (Rekomendacja ostrożnościowa na podstawie charakteru poprzednich luk ANGLE).
3. Zarządzanie wieloprzeglądarkowe: monitoruj i aktualizuj Edge/Brave/Opera – zwykle dziedziczą poprawkę w kolejnych wydaniach.
4. Threat hunting / EDR: szukaj anomalii procesów gpu-process/renderer Chrome, crash logów po wejściu na nieznane domeny, nagłych spike’ów użycia WebGL. (Wniosek operacyjny – brak oficjalnego IoC na tym etapie).
5. Śledź KEV i komunikaty Google/TAG. Dodawanie CVE do CISA KEV zwykle następuje w ciągu dni/tygodni – włącz automatyczne reguły wymuszające patchowanie dla pozycji KEV.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• CVE-2025-13223 / CVE-2025-10585 (V8): błędy „type confusion” w silniku JavaScript – typowy wektor RCE przez odwiedzenie złośliwej strony, gwałtownie trafiły do KEV. Obecny case (466192044) – według wczesnych doniesień – nie V8, a ścieżka grafiki (ANGLE/Metal).
• CVE-2025-6558 (ANGLE/GPU): wcześniejsza, potwierdzona przez CISA podatność w warstwie ANGLE. jeżeli nowy błąd rzeczywiście jest w LibANGLE, może przypominać trend z połowy 2025 r. (inne miejsce, podobna klasa błędów pamięciowych).

Podsumowanie / najważniejsze wnioski

• Mamy 8. zero-day Chrome w 2025 r. – dowód na ciągły napór na przeglądarki jako główny wektor ataku.
• Aktualizacja i restart są krytyczne – wersje 143.0.7499.109/.110 (desktop) zawierają łatkę; szczegóły będą ujawnione później.
• Organizacje powinny automatyzować patchowanie, skracać „patch gap” oraz monitorować telemetrię przeglądarki do czasu publikacji CVE/IoC. (Wnioski operacyjne na bazie praktyk i dotychczasowej dynamiki ujawnień KEV).

Źródła / bibliografia

• BleepingComputer: „Google fixes eighth Chrome zero-day exploited in attacks in 2025”. (BleepingComputer)
• Chrome Releases – „Stable Channel Update for Desktop” (10 grudnia 2025), wersje 143.0.7499.109/.110 i wzmianka o exploicie 466192044. (Chrome Releases)
• The Hacker News: „Chrome Targeted by Active In-the-Wild Exploit…”, potwierdzenie, iż to 8. zero-day w 2025 r. oraz numery wersji. (The Hacker News)
• CISA KEV – wpisy i/lub komunikaty dot. wcześniejszych zero-day w 2025 r.: CVE-2025-13223, CVE-2025-10585, CVE-2025-6558. (CISA)

Uwaga: sekcja 4 opiera się częściowo na wczesnych doniesieniach (BleepingComputer) i może wymagać aktualizacji, gdy Google nada CVE i opublikuje pełny opis komponentu/klasy błędu.