Browserul a revenit în prim-plan: Google a publicat o actualizare de urgență pentru Chrome pe desktop, după ce a identificat o vulnerabilitate zero-day exploatată în natură. Este vorba despre un patch distribuit global pentru Windows, macOS și Linux, care remediază o problemă de securitate serioasă într-o componentă responsabilă de redarea graficii.
Actualizarea pentru canalul Stable este livrată în versiunile 143.0.7499.109 pentru Windows și Linux și 143.0.7499.110 pentru macOS. Ca de obicei cu astfel de remedii, distribuirea către toți utilizatorii poate dura zile sau săptămâni, însă verificările manuale au arătat că patch-ul era deja disponibil pentru unii utilizatori. Dacă nu doriți să interveniți manual, browserul poate instala actualizările automat la următoarea repornire, deloc plăcut, dar util.
Google a comunicat că are cunoștință despre existența unui exploit folosit pentru problema identificată sub ID intern 466192044, dar nu a publicat detalii tehnice sau un CVE public deocamdată, explicând că informațiile rămân restricționate până când majoritatea utilizatorilor sunt protejați. Această abordare coordonată este folosită pentru a limita expunerea și pentru a reduce riscul ca atacatorii să profite de bug înainte ca remediul să fie aplicat pe scară largă, în special când vulnerabilitatea afectează o bibliotecă folosită și de alte proiecte.
Din rapoarte tehnice publice reiese că problema se află în LibANGLE, o bibliotecă open-source care traduce apelurile OpenGL ES către alte API-uri grafice precum Direct3D, Vulkan sau Metal, permițând astfel rularea aplicațiilor bazate pe OpenGL ES pe sisteme care nu-l suportă nativ. Defectul concret este un overflow de buffer în renderer-ul Metal, cauzat de dimensiuni incorecte ale bufferelor; consecințele posibile includ coruperea memoriei, blocări ale aplicației, divulgarea de date sensibile sau chiar executare arbitrară de cod. Pe scurt, un bug care poate deveni grav dacă este exploatat în practică.
Nu este prima intervenție de acest fel din acest an pentru Google: acesta este al optulea zero-day remediat de la începutul anului. Compania a rezolvat anterior mai multe vulnerabilități exploatate în realitate, printre care probleme în motorul V8 al JavaScript (CVE-2025-5419), o vulnerabilitate care permitea preluarea conturilor (CVE-2025-4664) și altele raportate atât de cercetători interni din Threat Analysis Group, cât și de echipe externe, precum cazul unui bug de tip sandbox escape raportat de Kaspersky. CVE-urile menționate anterior includ CVE-2025-13223, CVE-2025-10585 și CVE-2025-6558, printre altele.
Cât de îngrijorați ar trebui să fim? Actualizările de securitate pentru browsere sunt frecvente, iar seria de patch-uri arată că atacatorii vizează constant componente critice ale infrastructurii web. Păstrarea detaliilor nepublicate are justificarea de a micșora fereastra de atac, dar pune presiune pe utilizatori și administratori să aplice actualizările cât mai rapid. O glumă ar fi că browserul preferat cere actualizări la fel de des cum aplicația meteo cere permisiuni: enervant, dar necesar.
Versiunea Chrome 143.0.7499.109/110 include corecția pentru această vulnerabilitate. Cazul scoate în evidență riscurile asociate bibliotecilor open-source utilizate pe scară largă și importanța coordonării în lanțul de aprovizionare software. Mesajul practic este simplu: actualizările regulate și urmărirea surselor oficiale rămân cele mai eficiente măsuri preventive. Voi actualiza imediat sau așteptați și vedeți cum evoluează situația?
Fii primul care comentează