Google łata nowy zero-day w Chrome (CVE-2025-13223) aktywnie wykorzystywany w atakach - Security Bez Tabu

Google łata nowy zero-day w Chrome (CVE-2025-13223) aktywnie wykorzystywany w atakach

Wprowadzenie do problemu / definicja luki

Google wydał awaryjną aktualizację przeglądarki Chrome, aby usunąć wysokiej wagi lukę CVE-2025-13223 w silniku JavaScript V8. Błąd ma charakter type confusion i jest już aktywnie wykorzystywany („exploit in the wild”). Łatka została udostępniona w wersjach 142.0.7444.175/.176 dla Windows, 142.0.7444.176 dla macOS oraz 142.0.7444.175 dla Linuksa.

W skrócie

  • Co: CVE-2025-13223 – błąd type confusion w V8 (możliwa korupcja sterty, potencjalne RCE).
  • Status: aktywnie wykorzystywany; Google ogranicza szczegóły do czasu zaktualizowania większości użytkowników.
  • Wersje z poprawką: 142.0.7444.175/.176 (Win), 142.0.7444.176 (macOS), 142.0.7444.175 (Linux).
  • Ocena wstępna: media branżowe raportują CVSS ~8.8 (wysoka).

Kontekst / historia / powiązania

To już siódmy zero-day w Chrome w 2025 r., jaki Google musiał łatać awaryjnie. Poprzednie przypadki obejmowały m.in. inne błędy w V8 oraz luki umożliwiające eskalację uprawnień lub ominięcie piaskownicy. Google tradycyjnie wstrzymuje publikację szczegółów technicznych do czasu rozpowszechnienia aktualizacji.

Analiza techniczna / szczegóły luki

CVE-2025-13223 to błąd klasy type confusion w V8 (JS/WebAssembly). Tego typu podatności wynikają z nieprawidłowych założeń co do typu obiektu w czasie wykonania, co może prowadzić do błędów pamięci (heap corruption). W praktyce możliwe jest wyzwolenie podatności poprzez spreparowaną stronę HTML i uzyskanie zdalnego odczytu/zapisu pamięci procesu przeglądarki — w określonych warunkach aż do zdalnego wykonania kodu (RCE) lub obejścia izolacji.

Zakres dotkniętych wersji: Chrome przed 142.0.7444.175/176 (desktop). Dystrybucje i advisories (NVD, Ubuntu, NHS) potwierdzają charakter podatności i progi wersji.

Praktyczne konsekwencje / ryzyko

  • Atak bezplikowy przez przeglądarkę: wystarczy wejście na złośliwą stronę lub wczytanie złośliwej reklamy/iframe, aby wyzwolić błąd.
  • Potencjalne RCE/eskalacja w łańcuchu exploitów: luki V8 są często łączone z innymi błędami (np. sandbox escape) w pełne łańcuchy ataków.
  • Profil celów: TAG często wiąże zero-daye z kampaniami APT/spyware wymierzonymi w osoby wysokiego ryzyka (dziennikarze, opozycja). Choć w tym przypadku brak jeszcze szczegółów atrybucji, Google potwierdza aktywną eksploatację.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowa aktualizacja przeglądarki na stacjach roboczych i serwerach z GUI:
    • Chrome → MenuPomocInformacje o Google ChromeAktualizuj i Uruchom ponownie. Wersja docelowa: 142.0.7444.175/.176 (zależnie od OS).
  2. Zarządzanie flotą (Intune/Google Admin/Jamf): wymuś roll-out kanału Stable 142.0.7444.175/176; monitoruj wskaźnik zgodności. (Na podstawie wersji z ogłoszenia Stable Channel.)
  3. Chromium-based: sprawdź aktualizacje w przeglądarkach pochodnych (Edge, Brave, Opera), ponieważ podatność dotyczy V8. (Wniosek z charakteru luki; weryfikuj advisories vendorów).
  4. Hardening przeglądarki do czasu pełnej zgodności:
    • włącz Site Isolation, ogranicz uprawnienia JS dla niezaufanych domen (np. polityki ExtensionInstallBlacklist/URLBlacklist), rozważ uBO/NoScript w środowiskach wrażliwych;
    • egzekwuj automatyczne aktualizacje i restart przeglądarki (GPO/MDM).
  5. Detekcja i reagowanie:
    • monitoruj anomalia w procesach chrome.exe/chromium (spawn nieoczekiwanych child-processów, zrzuty pamięci, niepodpisane DLL);
    • telemetria przeglądania: nietypowe crashe V8, błędy Render Process gone po wejściu na daną domenę mogą wskazywać na testowanie exploitów.
  6. Zarządzanie ryzykiem:
    • zaktualizuj rejestr podatności i KPI patchowania;
    • jeśli organizacja stosuje allowlistę stron, tymczasowo ogranicz odwiedzanie nieznanych domen na stanowiskach o wysokiej wrażliwości.

Różnice / porównania z innymi przypadkami

Google w 2025 r. kilkukrotnie łatał zero-daye w V8. W odróżnieniu od wrześniowej luki CVE-2025-10585 (również type confusion), obecna podatność dotyczy gałęzi 142 i ma podobny wektor (spreparowany HTML/JS). W obu przypadkach Google ogranicza szczegóły do czasu powszechnego wdrożenia łatki.

Podsumowanie / kluczowe wnioski

  • Zaktualizuj Chrome do 142.0.7444.175/.176 jak najszybciej — exploit już krąży.
  • Luka dotyczy V8 (type confusion) i może prowadzić do RCE w odpowiednich warunkach.
  • Organizacje powinny wymusić restart przeglądarki po instalacji oraz audytować zgodność floty.

Źródła / bibliografia

  • Chrome Releases – Stable Channel Update for Desktop (17 listopada 2025): wersje i status exploitu. (Chrome Releases)
  • BleepingComputer – omówienie i kontekst siódmego zero-daya w 2025 r. (BleepingComputer)
  • NVD (NIST) – opis techniczny CVE-2025-13223 (V8, type confusion, heap corruption). (NVD)
  • SecurityWeek – wzmianka o CVSS 8.8 i implikacjach dla RCE. (SecurityWeek)
  • NHS Digital Cyber Alert – wersje zawierające poprawkę i status „exploited”. (NHS England Digital)