Google je objavio hitne nadogradnje za Chrome radi zero day propusta CVE-2025-10585 u V8 pogonu. Google potvrđuje da se propust aktivno iskorištava u stvarnim napadima. Zakrpa je u izdanju 140.0.7339.185 i .186 za Windows i macOS te 140.0.7339.185 za Linux. Uz to su ispravljena još tri visoka propusta u komponentama Dawn WebRTC i ANGLE.
CVE-2025-10585 je type confusion u V8 pogonu koji obrađuje JavaScript i WebAssembly. Greška omogućuje pogrešno tumačenje tipova objekata što često vodi do out of bounds čitanja i pisanja u memoriji te stjecanja primitiva za izvršavanje koda u renderer procesu. Napad se tipično isporučuje kroz posebno izrađenu web stranicu pa je dovoljan posjet napadnutoj domeni. Google navodi da se propust aktivno iskorištava te zato zadržava ograničene tehničke detalje do široke primjene zakrpe.
Uobičajeni lanac eksploatacije kod ovakvih propusta izgleda ovako:
• iskorištavanje greške u V8 radi preuzimanja kontrole nad renderer procesom
• korištenje dodatne slabosti ili tehnike za bijeg iz sandboxa kako bi se došlo do viših privilegija ili OS resursa
• krađa podataka iz preglednika primjerice kolačići sesije tokeni ili izvođenje daljnjih faza napada preko WebRTC i drugih API sučelja
Čak i bez bijega iz sandboxa napadač može doći do osjetljivih podataka unutar konteksta preglednika. Zakrpa je isporučena u verzijama 140.0.7339.185 i 140.0.7339.186 za Windows i macOS te 140.0.7339.185 za Linux. U istom ciklusu ispravljene su još tri visoke ranjivosti u komponentama Dawn WebRTC i ANGLE. Preporuka je ažurirati Chrome i zatvoriti preglednik kako bi se učitala nova verzija renderer i V8 procesa.
• Odmah ažurirati Chrome na 140.0.7339.185 ili .186 i ponovno pokrenuti preglednik. Na izborniku Pomoć O Google Chromeu provjeriti da je verzija ažurirana.
• Primijeniti ažuriranja i na Chromium preglednike poput Edge Brave Opera i Vivaldi čim budu dostupna.
• U poduzećima forsirati update kroz MDM ili GPO uključiti automatsko ponovno pokretanje preglednika i pregledati pravila koja blokiraju upgrade.
• U EDR alatu nadzirati neuobičajena pokretanja render procesa te padove procesa povezane s V8 kao potencijalne indikatore pokušaja eksploatacije.
• Podsjetiti korisnike na oprez s nepoznatim web lokacijama i privremeno ograničiti eksperimentalne značajke ako nisu potrebne.
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop.html
https://thehackernews.com/2025/09/google-patches-chrome-zero-day-cve-2025.html
https://nvd.nist.gov/vuln/detail/CVE-2025-10585
// Newsletter //
Prijava na newsletter
Budite u toku s najnovijim sigurnosnim upozorenjima, analizama i praktičnim savjetima naših stručnjaka.
.png)
.png)