[TLP:CLEAR] Google Chrome opravuje 429 zraniteľností
Google opravuje 429 zraniteľnosti v produkte Google Chrome a v ďalších webových prehliadačoch založených na Chromium. Google zraniteľnosti opravil pre Chrome na Linux vo verzii 149.0.7827.53 a pre Chrome na Windows/Mac vo verzii 149.0.7827.53/54. Vybrané zraniteľnosti sú popísané nižšie, zvyšné nájdete na [1]. Microsoft vydal prehliadač Edge vo verzii 149.0.4022.52, ktorá obsahuje najnovšie bezpečnostné opravy. Zoznam súvisiacich zraniteľností zatiaľ nebol zverejnený [2].
Neautentizovanému vzdialenému útočníkovi je prostredníctvom špeciálne vytvorenej HTML stránky umožnené čítať a zapisovať za hranice alokovanej pamäte, čo môže viesť k úniku zo sandboxu prehliadača [1].
Zraniteľnosť sa nachádza v produktoch:
- Google Chrome (windows) vo verziách <149.0.7827.53
- Google Chrome (macos) vo verziách <149.0.7827.54
- Google Chrome (linux) vo verziách <149.0.7827.53
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
Viac informácií:
- CVE-2026-10881 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-10886 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-10892 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-125: Out-of-bounds Read at cwe.mitre.org
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 6. 2026.
Neautentizovanému vzdialenému útočníkovi je umožnené zneužiť ukazovateľ na pamäť, ktorá už bola uvoľnená, čo môže prostredníctvom špeciálne vytvorenej HTML stránky viesť k pádu aplikácie, neoprávnenej úprave dát alebo potenciálne aj k spusteniu kódu, pričom útok vyžaduje interakciu používateľa [1].
Zraniteľnosť sa nachádza v produktoch:
- Google Chrome (windows) vo verziách <149.0.7827.53
- Google Chrome (macos) vo verziách <149.0.7827.54
- Google Chrome (linux) vo verziách <149.0.7827.53
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-10882 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-10885 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-10893 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-10895 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-10896 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 6. 2026.
Neautentizovanému vzdialenému útočníkovi s už skompromitovaným procesom renderovania je umožnené zneužiť ukazovateľ na pamäť, ktorá už bola uvoľnená, čo môže prostredníctvom špeciálne vytvorenej HTML stránky potenciálne viesť k obídeniu sandboxu, pričom útok vyžaduje interakciu používateľa [1].
Zraniteľnosť sa nachádza v produktoch:
- Google Chrome (windows) vo verziách <149.0.7827.53
- Google Chrome (macos) vo verziách <149.0.7827.54
- Google Chrome (linux) vo verziách <149.0.7827.53
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
Viac informácií:
- CVE-2026-10884 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-10889 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-10894 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-10898 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 2. 6. 2026.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 8. 6. 2026.
