Google opravuje chybu v Chromu – je to důvod pro aktualizaci?
Společnost Google vydala bezpečnostní aktualizaci pro uživatele prohlížeče Chrome po celém světě poté, co se dozvěděla o chybě, která může umožnit motivovaným útočníkům převzít kontrolu nad účty.
„Stabilní verze byla aktualizována na 136.0.7103.113/.114 pro Windows, Mac a 136.0.7103.113 pro Linux a bude spuštěna v nadcházejících dnech/týdnech,“ píše Srinivas Sista na blogu o vydáních Google Chrome. „Tato aktualizace obsahuje 4 bezpečnostní opravy.“
Oznámení typickým způsobem zdůrazňuje opravy od externích výzkumníků, spolu s určeným číslem CVE a pouze vzácnými technickými detaily, které mají odradit od oportunistických hackerských útoků.
„Nedostatečné vymáhání politik“
Klíčový problém řešený v této verzi, evidovaný jako CVE-2025-4664, je popsán jako „nedostatečné vynucování zásad v Loaderu“.
Podle databáze GitHub Advisory Database může motivovaný útočník zneužít problém na dálku „k úniku dat z různých zdrojů prostřednictvím vytvořené HTML stránky“.
Google hodnotí závažnost chyby jako vysokou a to z dobrého důvodu – lze ji zneužít k převzetí kontroly nad účty.
Zatímco Google je ohledně zneužitelnosti chyby zdrženlivý, výzkumník, který chybu objevil a nahlásil světu.
Výzkumník, identifikovaný jako @slonser, v sérii příspěvků na X vysvětluje, že „na rozdíl od jiných prohlížečů Chrome rozpoznává hlavičku Link v požadavcích na podzdroj [a že] hlavička Link může nastavit politiku odkazu.“
„Můžeme zadat unsafe-url a zachytit celé parametry dotazu,“ poznamenává Slonser. „Parametry dotazu mohou obsahovat citlivá data – například v procesech OAuth by to mohlo vést k převzetí účtu. Vývojáři jen zřídka zvažují možnost krádeže parametrů dotazu prostřednictvím obrázku ze zdroje třetí strany – což tento trik někdy překvapivě dělá užitečným.“
Aktualizujte si prohlížeč!
„Google si je vědom zpráv o tom, že existuje zneužití pro CVE-2025-4664,“ uvádí webový gigant.
Neobjasňuje, zda je zneužití Slonserovým důkazem konceptu, nebo zda motivovaní útočníci rychle zneužili slabinu ke škodlivým účelům.
Za zmínku stojí, že Slonser zveřejnil svá zjištění na X dlouho předtím, než Google vydal aktualizaci Chrome, která opravu obsahovala nápravu této chyby.
I když se nepovažujete za cíl hackerů, Bitdefender doporučuje nainstalovat nejnovější aktualizace pro všechna vaše osobní zařízení, jakmile budou k dispozici, zejména pokud dodavatel hodnotí úroveň rizika vysoko, a tím spíše, pokud se říká, že řešené problémy jsou zneužívány v reálném čase.
Od dnešního dne budou uživatelé Chromu chtít používat:
- Chrome 136.0.7103.113/.114 pro Windows a Mac.
- Chrome 136.0.7103.113 v Linuxu.
- Chrome 136.0.7103.125 na Androidu.
Uživatelé prohlížeče Chrome na iOS/iPadOS nejsou ovlivněni, takže pro verzi prohlížeče pro iPhone/iPad tentokrát neexistuje žádná speciální bezpečnostní aktualizace.
Verze Chromu pro stolní počítače je naprogramována tak, aby při každém restartu kontrolovala nejnovější verzi. Pokud jste Chrome delší dobu nezavírali, spusťte proces ručně. Otevřete nabídku možností se třemi tečkami, vyberte Nastavení -> O Chromu a nechte prohlížeč načíst nejnovější verzi ze serverů Google. Po zobrazení výzvy Chrome znovu spusťte.
Verze pro Android obsahují stejné bezpečnostní opravy jako desktopová verze Chromu, pokud Google neuvede jinak.
Chcete-li na svém zařízení Android nainstalovat záplatu pro Chrome, navštivte oficiální Obchod Google Play a stáhněte si nejnovější verzi.
Pro klid v duši zvažte spuštění bezpečnostního řešení na všech vašich zařízeních.
Pro další informace nás neváhejte kontaktovat.
Zdroj: Bitdefender
