Advisory
Aug 1, 2025

Kritična ranjivost u Chromeu: CVE-2025-8292

Google je objavio hitnu sigurnosnu nadogradnju za svoj preglednik Chrome kako bi otklonio kritičnu ranjivost označenu kao CVE‑2025‑8292.

Kritična ranjivost u Chromeu: CVE-2025-8292

1. Sažetak

Google je objavio hitnu sigurnosnu nadogradnju koja otklanja ranjivost CVE‑2025‑8292.
Radi se o ozbiljnoj grešci tipa use-after-free u komponenti Media Stream. Napadač može pokrenuti zlonamjernu web stranicu i izazvati krađu kontrole nad memorijom, što može rezultirati rušenjem preglednika, izvršenjem proizvoljnog koda ili krađom podataka.
Nije potvrđena aktivna eksploatacija, ali Google je naglasio važnost brzog ažuriranja na verzije 138.0.7204.183/.184 za Windows i macOS te 138.0.7204.183 za Linux.

2. Detalji

Ranjivost se nalazi u načinu na koji Chrome reagira na odaziv korisničkih akcija povezanim s media streamom, primjerice pri dijeljenju zaslona ili video komunikaciji.
Eksploatacijski kod iskorištava opravdano otpuštenu memoriju, ali zatim opet pristupa istom bloku, čime manipulira sadržajem heap memorije.

Ovakvo korištenje memorije potakne stanje heap corruption, a iz toga proizlazi mogućnost udaljenog izvršavanja koda bez autorizacije.
Vulnerabilnost je prijavio anonimni istraživač 19. lipnja 2025. u sklopu Chromium Vulnerability Rewards Programa, za što je dobio nagradu od 8 000 USD.

Google je informacije držao pod embargom dok se nadogradnja nije proširila, kako bi se smanjila mogućnost zloupotrebe.
Chrome verzije prije navedenih ažuriranja su potencijalno ranjive i pogodne za drive-by napade i phishing linkove.

3. Preporuke

Za zaštitu od ove vrste napada preporučuje se:

  • Nadogradite preglednik Google Chrome na verziju:
    Windows/macOS: 138.0.7204.183 ili 138.0.7204.184
    Linux: 138.0.7204.183
    Nakon nadogradnje preuzmite i ponovno pokrenite preglednik kako bi se zakrpa aktivirala.
  • Provjerite je li nadogradnja primijenjena na svim uređajima unutar organizacije, uključujući uređaje s automatiziranim updateima kroz GPO ili MDM.
  • Ako koristite druge preglednike temeljene na Chromium tehnologiji, poput Edgea, Bravea, Opere ili Vivaldia, osigurajte da su ažurirani na zakrpane verzije jer su također ranjivi.
  • Uvedite promjenu u korisničkoj obuci i uključite obavijest o nužnosti ažuriranja preglednika za sve zaposlenike, osobito prilikom otvaranja dokumenata ili linkova iz nepoznatih izvora.
  • Nadgledajte kontrolu nad GPU procesom i evidencije u slučaju neuobičajenih događaja ili rušenja preglednika, kao moguće indikatore eksploatacije memorijskih grešaka.

4. Reference

https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-sandbox-escape-zero-day-in-chrome/
https://www.securityweek.com/chrome-update-patches-fifth-zero-day-of-2025/
• https://www.malwarebytes.com/blog/news/2025/03/vulnerability-in-most-browsers-abused-in-targeted-attacks

Recent posts

Zašto je kibernetička sigurnost poslovni prioritet

Articles
Aug 1, 2025

Kritična WordPress ranjivost: CVE‑2025‑5394 u temi "Alone"

Advisory
Aug 1, 2025

Tjedni sažetak prijetnji – kraj srpnja 2025.

Articles
Aug 1, 2025
// Newsletter //

Prijava na newsletter

Budite u toku s najnovijim sigurnosnim upozorenjima, analizama i praktičnim savjetima naših stručnjaka.

Thanks for joining our newsletter.
Oops! Something went wrong.
Subscribe To Our Weekly Newsletter - Cybersecurity X Webflow Template

Relevatne teme

Pogledaj sve objave
Zašto je kibernetička sigurnost poslovni prioritet

Zašto je kibernetička sigurnost poslovni prioritet

Zaštitite podatke, sustave i poslovnu reputaciju.

Articles
Aug 1, 2025
Kritična WordPress ranjivost: CVE‑2025‑5394 u temi "Alone"

Kritična WordPress ranjivost: CVE‑2025‑5394 u temi "Alone"

Teška RCE ranjivost u WordPress temi Alone

Advisory
Aug 1, 2025