Chrome 148 usuwa 79 podatności, w tym 14 krytycznych luk bezpieczeństwa - Security Bez Tabu

Chrome 148 usuwa 79 podatności, w tym 14 krytycznych luk bezpieczeństwa

Cybersecurity news

Wprowadzenie do problemu / definicja

Google udostępnił aktualizację Chrome 148, która eliminuje 79 podatności bezpieczeństwa wykrytych w desktopowej wersji przeglądarki. Wśród nich znajduje się 14 luk oznaczonych jako krytyczne, obejmujących przede wszystkim błędy pamięci oraz nieprawidłową walidację danych wejściowych. To właśnie tego typu słabości od lat należą do najgroźniejszych klas podatności w oprogramowaniu klienckim, ponieważ mogą prowadzić do awarii procesu, naruszenia integralności pamięci, a nawet zdalnego wykonania kodu po odwiedzeniu spreparowanej strony.

W skrócie

Najnowsze wydanie Chrome 148 łata łącznie 79 błędów, z czego 14 ma status krytyczny. Google nie poinformował o aktywnym wykorzystywaniu tych luk w kampaniach ataków, jednak ich charakter wskazuje na wysokie ryzyko dla użytkowników i organizacji, które zwlekają z aktualizacją. Stabilna wersja została oznaczona numerem 148.0.7778.167 dla Linuksa oraz 148.0.7778.167 lub 148.0.7778.168 dla Windows i macOS.

  • 79 naprawionych podatności
  • 14 błędów krytycznych
  • Najgroźniejsze luki dotyczą WebML, Skia, Blink, UI i Payments
  • Brak potwierdzonej aktywnej eksploatacji, ale wysoki priorytet wdrożenia

Kontekst / historia

Przeglądarki internetowe pozostają jednym z najważniejszych celów ataków, ponieważ są podstawowym punktem styku użytkownika z niezaufaną treścią pochodzącą z internetu. Nowoczesne silniki przeglądarek obsługują grafikę, skrypty, płatności, udostępnianie danych, interfejsy systemowe i akcelerację sprzętową, przez co ich powierzchnia ataku stale rośnie.

W przypadku Chrome regularne aktualizacje bezpieczeństwa obejmują zarówno podatności zgłaszane przez zewnętrznych badaczy, jak i błędy wykrywane wewnętrznie przez Google. W wydaniu 148 dwie krytyczne luki zostały zgłoszone z zewnątrz i nagrodzone w ramach programu bug bounty, natomiast pozostałe wykryto po stronie producenta. To potwierdza, że istotna część ryzyka nadal wynika z klasycznych błędów bezpieczeństwa pamięci obecnych w złożonych komponentach przeglądarki.

Analiza techniczna

Najpoważniejszą z ujawnionych luk jest CVE-2026-8509, czyli heap buffer overflow w komponencie WebML. Taki błąd pojawia się wtedy, gdy aplikacja zapisuje dane poza granicami zaalokowanego bufora na stercie. W praktyce może to prowadzić do uszkodzenia struktur pamięci procesu renderującego i stworzyć warunki do budowy skutecznego łańcucha eksploatacyjnego.

Drugą szczególnie groźną luką jest CVE-2026-8510, sklasyfikowana jako integer overflow w bibliotece graficznej Skia. Błędy tego typu często prowadzą do niewłaściwych obliczeń rozmiarów buforów, błędnych alokacji pamięci i zapisów poza dozwolonym obszarem. W przeglądarce może to zostać wywołane przez odpowiednio przygotowaną zawartość renderowaną po stronie użytkownika.

Pozostałe krytyczne podatności obejmują liczne przypadki use-after-free w komponentach takich jak UI, FileSystem, Input, Aura, HID, Blink, Tab Groups i Downloads. Klasa use-after-free polega na odwołaniu do obiektu, którego pamięć została już zwolniona. Jeżeli atakujący przejmie kontrolę nad ponownym wykorzystaniem tego obszaru, może doprowadzić do manipulacji danymi lub przejęcia przepływu wykonania.

W aktualizacji usunięto również niewystarczającą walidację niezaufanych danych wejściowych w DataTransfer, problem cyklu życia obiektu w WebShare, integer overflow w ANGLE oraz race condition w module Payments. Dodatkowo pakiet zawiera 37 poprawek podatności wysokiego ryzyka, co pokazuje, że nie jest to pojedyncza łatka, lecz szerokie wzmocnienie bezpieczeństwa całego stosu Chrome.

Konsekwencje / ryzyko

Dla użytkowników indywidualnych podstawowe ryzyko polega na możliwości kompromitacji przeglądarki po wejściu na złośliwą stronę lub przetworzeniu spreparowanej treści internetowej. Nawet przy braku potwierdzonej eksploatacji publiczne ujawnienie klas błędów zwykle przyspiesza analizy zarówno po stronie badaczy, jak i potencjalnych napastników.

W środowiskach firmowych skala zagrożenia jest jeszcze większa. Przeglądarka stanowi bramę do aplikacji SaaS, paneli administracyjnych, poczty, narzędzi deweloperskich i systemów wewnętrznych. Skuteczne wykorzystanie luki może prowadzić do kradzieży sesji, przejęcia tokenów uwierzytelniających, dostępu do danych organizacji, a także stanowić punkt wyjścia do dalszego ruchu bocznego po stacji roboczej.

Szczególnie niebezpieczne są błędy pamięci, ponieważ mogą być łączone z dodatkowymi technikami obejścia sandboxa lub eskalacji uprawnień. Ograniczenie szczegółów technicznych przez producenta do czasu szerokiego wdrożenia poprawek dodatkowo sugeruje, że opóźnianie aktualizacji zwiększa ekspozycję na ryzyko.

Rekomendacje

Organizacje powinny potraktować wdrożenie Chrome 148 jako priorytetową aktualizację bezpieczeństwa dla punktów końcowych. Kluczowe jest upewnienie się, że zarządzane stacje robocze otrzymały wersję 148.0.7778.167 lub 148.0.7778.168, zależnie od platformy.

  • przyspieszyć rollout poprawek w środowiskach produkcyjnych i testowych,
  • zweryfikować wersje przeglądarek w systemach EDR, MDM i narzędziach do zarządzania endpointami,
  • monitorować telemetrię pod kątem anomalii w procesach przeglądarki i awarii renderera,
  • ograniczyć lokalne uprawnienia użytkowników,
  • rozdzielić konta administracyjne od codziennych profili użytkowników,
  • stosować polityki bezpiecznego przeglądania, izolację przeglądarki lub wirtualizację sesji,
  • traktować przeglądarki jako element pełnoprawnego procesu patch management.

Z perspektywy obronnej warto również pamiętać, że szybkie aktualizacje przeglądarek ograniczają ryzyko exploitów typu one-click oraz drive-by download, które historycznie bardzo często wykorzystywały właśnie błędy pamięci i nieprawidłową obsługę złożonych struktur danych.

Podsumowanie

Chrome 148 eliminuje szeroki zestaw podatności o wysokim znaczeniu operacyjnym, w tym 14 luk krytycznych. Najważniejsze z nich obejmują heap buffer overflow, integer overflow, use-after-free oraz race condition w kluczowych komponentach przeglądarki. Nawet bez potwierdzenia aktywnej eksploatacji aktualizacja powinna zostać wdrożona niezwłocznie, ponieważ tego rodzaju błędy należą do najczęściej wykorzystywanych klas podatności w atakach na przeglądarki internetowe.

Źródła

  1. Chrome 148 Update Patches Critical Vulnerabilities — https://www.securityweek.com/chrome-148-update-patches-critical-vulnerabilities/
  2. Stable Channel Update for Desktop — https://chromereleases.googleblog.com/2026/05/stable-channel-update-for-desktop_12.html
  3. Stable Channel Update for Desktop — https://chromereleases.googleblog.com/2026/05/stable-channel-update-for-desktop.html
  4. Chrome for Android Update — https://chromereleases.googleblog.com/2026/05/chrome-for-android-update_12.html
  5. Security Vulnerabilities fixed in Firefox 150.0.3 — https://www.mozilla.org/en-US/security/advisories/mfsa2026-45/