Albisteak

Chrome-n detektatutako ahultasun kritikoak ustiapen aktiboarekin

Argitalpen-data: 

Laburpen exekutiboa

Googlek Chrome nabigatzailearen kanal egonkorra eguneratu du (137.0.7151.68/.69 bertsioa Windows eta Mac-erako, eta 137.0.7151.68 Linux-erako), eta eguneratze honek hiru ahultasun konpontzen ditu. Nabarmendu beharrekoa da CVE-2025-5419 ahultasun kritikoa, V8 motorraren barruan baimenik gabeko irakurketa eta idazketa ahalbidetzen duena, eta dagoeneko aktiboki ustiatzen ari dena. Beste ahultasun bat, CVE-2025-5068, Blink osagaian use-after-free motakoa da. Googlek mugatu egin du ahultasunen xehetasunen sarbidea, erabiltzaile gehienek eguneraketa jaso arte babesa bermatzeko.

Eragindako baliabideak

  • Chrome-ren mahaigaineko kanal egonkorra (137.0.7151.68/.69 bertsioa Windows eta Mac-erako, eta 137.0.7151.68 Linux-erako)

Azterketa teknikoa

  • CVE-2025-5419: Google Chrome 137.0.7151.68 baino lehenagoko V8-n muga gaineko irakurketa eta idazketa bat erremototik erasotzaile bati HTML orri zehatz baten bidez pilatzearen hondamena ustiatzea ahalbidetu zuen. (Chromium-en segurtasun larritasuna: Handia)
    • CWE-787
    • CVSS: 8.8 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Detektatua
  • CVE-2025-5068: Google Chrome 137.0.7151.68 baino lehenagoko Blink-en askatzearen ondorengo erabilera bat erremototik erasotzaile bati HTML orri manipulatu baten bidez pilatzearen hondamena ustiatzea ahalbidetu zuen. (Chromium-en segurtasun larritasuna: Ertaina)
    • CWE-416
    • CVSS: 8.8 (handia)
    • CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotazioa: Ez da detektatu

Arintzea/Konponbidea

Fabrikatzaileak Chrome-ren kanal egonkorra 137.0.7151.68/.69 bertsiora eguneratzea gomendatzen du Windows eta Mac-entzat, eta 137.0.7151.68 bertsiora Linux-entzat, aipatutako segurtasun arazoak arintzeko eta konpontzeko. Eguneraketa hau hurrengo egunetan edo astetan zabalduko da. Segurtasun zuzenketak hiru sartu dira eguneraketa honetan. CVE-2025-5419 mehatxua, V8-n muga gaineko irakurketa eta idazketa bat dena, 2025-05-28an Chrome-ren plataforma guztietarako konfigurazio aldaketaren bidez arintu zen. Google-k CVE-2025-5419-erako benetako egoeran dagoen exploit bat existitzen dela badaki. Gainera, Google-k segurtasun ikerlari guztiei eskertzen die kanal egonkorrean segurtasun akatsak prebenitzeko garapen zikloan laguntzeagatik.

Erreferentzia gehigarriak