Google Chrome opravuje 4 zraniteľnosti

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Google Chrome opravuje 4 zraniteľnosti

Google opravuje 4 zraniteľnosti v produkte Google Chrome a taktiež vo webových prehliadačoch založených na Chromium. Google zraniteľnosti opravil pre Chrome na Linux vo verzii 140.0.7339.185 (dostupná v následujúcich dňoch) a pre Chrome na Windows/Mac vo verzii 140.0.7339.185/.186 [1]. Microsoft zatiaľ opravu pre Edge nevydal, no pracuje na nej [2]. Ďalšie podrobnosti k uvedeným zraniteľnostiam zatiaľ neboli zverejnené z dôvodu zodpovedného zverejňovania.

Google Chrome - use after free (CVE-2025-10500, CVE-2025-10501)

CVSS 8.8 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené zneužiť ukazovateľ na pamäť, ktorá už bola uvolnená, čo môže spôsobiť pád aplikácie, neoprávnenú úpravu dát v pamäti alebo potenciálne vykonávanie kódu [1].

Zraniteľnosť sa nachádza v produktoch:

Google Chrome (windows) vo verziách >=140 AND <140.0.7339.185
Google Chrome (mac) vo verziách >=140 AND <140.0.7339.185
Google Chrome (linux) vo verziách >=140 AND <140.0.7339.185

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

CVE-2025-10500 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CVE-2025-10501 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-416: Use After Free at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 17. 9. 2025.

Google Chrome - heap buffer overflow (CVE-2025-10502)

CVSS 8.8 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené pristupovať za hranicu alokovanej pamäte, čo môže spôsobiť pád aplikácie, neoprávnenú úpravu dát v pamäti alebo za určitých okolností vykonávanie kódu [1].

Zraniteľnosť sa nachádza v produktoch:

Google Chrome (windows) vo verziách >=140 AND <140.0.7339.185
Google Chrome (mac) vo verziách >=140 AND <140.0.7339.185
Google Chrome (linux) vo verziách >=140 AND <140.0.7339.185

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

CVE-2025-10502 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-122: Heap-based Buffer Overflow at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 17. 9. 2025.

Google Chrome - type confusion (CVE-2025-10585)

CVSS 8.8 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené pracovať s pamäťou ako s iným typom premennej než bolo pôvodne zamýšľané, čo môže spôsobiť pád aplikácie, neoprávnenú úpravu dát v pamäti alebo za určitých okolností vykonávanie kódu. Google upozorňuje na aktívne zneužívanie tejto zraniteľnosti [1].

Zraniteľnosť sa nachádza v produktoch:

Google Chrome (windows) vo verziách >=140 AND <140.0.7339.185
Google Chrome (mac) vo verziách >=140 AND <140.0.7339.185
Google Chrome (linux) vo verziách >=140 AND <140.0.7339.185

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Viac informácií:

CVE-2025-10585 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 17. 9. 2025.

Odkazy

Za CESNET-CERTS Martin Krajči dňa 19. 9. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] Google Chrome opravuje 4 zraniteľnosti

Google Chrome - use after free (CVE-2025-10500, CVE-2025-10501)

CVSS 8.8 (High)

Google Chrome - heap buffer overflow (CVE-2025-10502)

CVSS 8.8 (High)

Google Chrome - type confusion (CVE-2025-10585)

CVSS 8.8 (High)

Odkazy