Google Chrome on edelleen suosituin selain maailmanlaajuisesti, joten ei ole yllättävää, että hyökkääjät suunnittelevat jatkuvasti edistyneitä tapoja vaarantaa alusta ja kohderyhmät. Mutta ulkoisten uhkien lisäksi Itse Chromen puutteet voivat myös vaarantaa käyttäjille, kuten viimeisimmässä lokakuun päivityksessä paljastetaan.
Lehdistötiedotteessa Google ilmoitti Chrome -version 141.0.7390.65/.66 käyttöönoton Windows and MacOS: lle ja 141.0.7390.65 Linuxille. Päivitys käsittelee useita virheitä ja suorituskykyongelmia, mutta kriittisemmin se korjaa kolme Chromen muistinkäsittelyyn liittyvää turvallisuushaavoittuvuutta ja joista kaksi luokitellaan korkean riskin.
- Lue myös: Google on korjannut kriittisen puutteen Chromessa, joka paljastaa salasanat
Vaaralliset kromivirheet
Vaarallisin virhe on CVE-2025-11458, kasapohjainen puskurin ylivuoto haavoittuvuus Chromen synkronointikomponentissa. Tämän muistin korruptiovirheen avulla hyökkääjät voivat kaataa selaimen tai suorittaa mielivaltaisen koodin, mahdollisesti asentaa vakoiluohjelmia, varastaa valtakirjoja tai hallita selaimen käyttäytymistä.
Yksi skenaario käsittää käyttäjän, joka vierailee vaarannetussa verkkosivustossa, joka lähettää hiljaa ylikuormitetut synkronointitiedot Chromelle. Vaikka käyttäjä ei ole tietoinen, hyökkääjät voivat suorittaa haitallisia toimia ilman korotettuja etuoikeuksia.
Google hyvittää turvallisuustutkijan Ravenin Kunlun Labista ongelman ilmoittamisesta, myöntämällä 5000 dollarin palkkion haavoittuvuuspalkkio -ohjelmansa kautta.
Korkea CVE-2025-11458: Kasan puskurin ylivuoto synkronoituna. Raven raportoi Kunlun Labissa 2025-09-05
Korkea CVE-2025-11460: Käytä ilmaisen varastoinnin jälkeen. Raportoi Sombra 2025-09-23
Keskikokoinen CVE-2015-11211: WebCodecs-luvun rajat. Raportoi Jakob Košir 2025-08-29
Toinen korkean vakavuusvirhe, CVE-2025-11460, vaikuttaa Chromen säilytyskomponenttiin käyttövapaan haavoittuvuuden avulla. Verkkosivuille upotetut haitalliset skriptit voivat vioittaa muistin ja kaataa selaimen jälleen tarvitsematta käyttäjän vuorovaikutusta, kun sivu on ladattu.
Kolmas virhe, CVE-2025-11211, on keskipitkän riskin haavoittuvuus Chromen Webcodecs-sovellusliittymässä. Hyökkääjät voivat hyödyntää tätä injektoimalla haitallisia videotietoja verkkosivustoille, jolloin Chromen dekoodausmoottori voi lukea arkaluontoisia tietoja tai asettaa lisä hyödyntää.
Viimeisimmän vian alhaisemmasta vakavuudesta huolimatta kaikilla kolmella haavoittuvuudella on vaarallinen piirre: ne eivät vaadi käyttäjän vuorovaikutusta tai etuoikeuden lisääntymistä, mikä tekee niistä ensisijaisia tavoitteita hyökkäyksille ja haitallisille mainoksille.
Google ei ole paljastanut, onko näitä haavoittuvuuksia hyödyntänyt luonnossa.
Vaiheet tietojen suojaamiseksi
Käyttäjiä kannustetaan voimakkaasti päivittämään Chromea heti, kun uusi versio tulee saataville. Jopa sovelletun laastarin, valppauden pysyminen on välttämätöntä, varsinkin kun kyse on epäilyttävien sivustojen tunnistamisesta, varjoisten laajennusten välttämisestä ja varmentamattomien latausten ohjaamisesta. Mitä vähemmän vuorovaikutushyökkääjät tarvitsevat, sitä aktiivisempia meidän on oltava.
Mitä muita toimenpiteitä teet tietojen suojaamiseksi verkossa? Haluaisimme kuulla ajatuksesi.
Lähde:
Google Chrome -blogi
