Laburpen exekutiboa
Google Chromen hainbat ahultasun kritiko aurkitu dira eta berehala arreta behar dute. Akatsek “use after free” kasu ugari barne hartzen dituzte Media Stream eta Digital Credentials-en, baita “Type Confusion” motako ahultasun bat ere V8-n, guztiak 8.8ko CVSS puntuazioarekin. Hauek urruneko erasotzaile bati kode maltzurra exekutatzeko aukera ematen diote biktima diseinatutako HTML orriak irekitzen duenean. Gainera, Mac-eko Google Updater-en pribilegioen eskalada bat jakinarazi da, fitxategi manipulatua erabiliz baimenik gabeko sarbidea eman dezakeena, 8.8ko puntuazioarekin. Beste ahultasun bat, “mal casting” Loader-en, memoria hondatzea eragin dezake errendatze-prozesua kontrolatuz. Aurkikuntza hauen larritasuna dela eta, funtsezkoa da 143.0.7499.41 baino lehenagoko bertsioetan segurtasun-zuzenketak aplikatzea arriskuak arintzeko.
Eragindako baliabideak
- Google Chrome (eraginpean dauden bertsioak: 143.0.7499.41 baino lehen)
Azterketa teknikoa
- CVE-2025-13638: Google Chrome-n Media Stream-en "use after free" motako ahultasun bat, 143.0.7499.41 bertsioaren aurretik, urruneko erasotzaile batek memoria usteldu ahalbidetu dezake. Eragina aplikazio eragindako exekuzioa kontrolatzea ahalbidetu dezake. Akats hau aprobetxatzeko, erasotzaileak biktima HTML orrialde berezi bat irekitzea induzitu behar du.
- CWE-416
- CVSS: 8.8 (altua)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Esplotazioa: Ez da detektatu
- CVE-2025-13630: Google Chrome-n V8-n Type Confusion ahultasunak, 143.0.7499.41 bertsioaren aurretik, urruneko erasotzaile batek heap usteldu ahalbidetu dezake manipulatutako HTML orrialde baten bidez. Honek segurtasun konpromiso garrantzitsuak ekar ditzake. Ahultasun hau aprobetxatzeko, erasotzaileak biktima orrialde HTML gaizto batera bisitatzeko beharra du.
- CWE-843
- CVSS: 8.8 (altua)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Esplotazioa: Ez da detektatu
- CVE-2025-13633: Google Chrome-n Digital Credentials-en "use after free" motako ahultasun bat, 143.0.7499.41 baino lehen, urruneko erasotzaile batek renderizazio prozesua konprometituta memoria usteldu ahalbidetu dezake manipulatutako HTML orrialde baten bidez. Eragina larria izan daiteke, kode gaiztoaren exekuzioa ahalbidetuz. Erasotzaileak renderizazio prozesuaren sarbidea izan behar du esplotazioa burutzeko.
- CWE-416
- CVSS: 8.8 (altua)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Esplotazioa: Ez da detektatu
- CVE-2025-13631: Google Chrome-n Google Updater-en ezarpen oker bat, 143.0.7499.41 bertsioaren aurretik, urruneko erasotzaile batek pribilegioen igotze bat burutzea ahalbidetu dezake manipulatutako fitxategi baten bidez. Honek eragindako sistemaren segurtasuna konprometitzea ahalbidetu dezake, baimenik gabeko sarbidea emanez. Ahultasun hau aprobetxatzeko, erasotzaileak fitxategi gaiztoa helburura bidali behar du.
- CWE N/A
- CVSS: 8.8 (altua)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Esplotazioa: Ez da detektatu
- CVE-2025-13720: Google Chrome-n 143.0.7499.41 baino lehen, Loader-en "mal casting" motako ahultasun bat, urruneko erasotzaile batek renderizazio prozesua konprometituta memoria usteldu ahalbidetu dezake manipulatutako HTML orrialde baten bidez. Honek kode gaiztoaren exekuzioa ekar dezake, eragin ertain batekin. Ahultasun hau aprobetxatzeko, erasotzaileak renderizazio prozesua kontrolatu behar du.
- CWE-704
- CVSS: 8.8 (altua)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
- Esplotazioa: Ez da detektatu
Arintzea/Konponbidea
Google Chrome bertsioa 143.0.7499.41 edo berriago eguneratzea gomendatzen da identifikatutako segurtasun-ahultasunak arintzeko.