Actualizarea Chrome din 11 decembrie 2025 aduce un patch de securitate esențial, remediind trei vulnerabilităţi, dintre care una este exploatată în sălbăticie. Google a anunțat că una dintre defecte, considerată de înaltă severitate, a fost deja folosită în atacuri reale, însă nu a oferit încă un identificator CVE public. Utilizatorii trebuie să aplice imediat actualizarea Chrome pentru a diminua riscul de compromitere.

Ce se știe despre vulnerabilitatea Chrome și de ce contează componenta ANGLE

Vulnerabilitatea Chrome, cu ID intern 466192044, este catalogată ca „high severity” și este confirmată ca fiind exploatată în sălbăticie. Deși Google nu a divulgat CVE-ul, un commit public al Chromium indică probleme în biblioteca open‑source ANGLE, în rendererul Metal. Cuvântul‑cheie „vulnerabilitate ANGLE” apare în descrierea commit‑ului, referindu‑se la o eroare de dimensionare a bufferelor.

Detalii tehnice ale vulnerabilității ANGLE

– Commit‑ul menționează: „Metal: Don’t use pixelsDepthPitch to size buffers. pixelsDepthPitch is based on GL_UNPACK_IMAGE_HEIGHT, which can be smaller than the image height.”
– Această discrepanță poate duce la un buffer overflow, permițând scrierea în afara limitelor alocate.
– În contextul unui browser, un astfel de overflow poate favoriza execuția de cod arbitrar în procesele Chrome.

De ce Google nu publică încă CVE‑ul și ce implică „exploatată în sălbăticie”

Google a ales să amâne divulgarea CVE‑ului pentru a nu furniza atacatorilor un ghid complet. Într-un scenariu de exploatare activă, fiecare detaliu tehnic publicat poate accelera replicarea și adaptarea exploitului. Prin restricționarea informațiilor, compania încearcă să reducă fereastra de timp în care utilizatorii neactualizați rămân vulnerabili.

Impactul asupra altor browsere bazate pe Chromium

Actualizarea Chrome (versiuni 143.0.7499.109/143.0.7499.110) conține și patch‑ul necesar pentru vulnerabilitatea ANGLE.
– Microsoft Edge, Brave, Opera și Vivaldi se bazează pe același cod sursă Chromium, astfel că vulnerabilitatea poate afecta și acestea.
– Fiecare vendor implementează propriul calendar de distribuție a patch‑ului, ceea ce poate crea întârzieri în adoptarea actualizării Chrome.

Pași practici pentru utilizatori

1. Deschide Chrome → Ajutor → Despre Google Chrome.
2. Verifică automat actualizarea și așteaptă descărcarea versiunii 143.0.7499.109 (sau 143.0.7499.110 pentru macOS).
3. Repornirea browserului („Relaunch”) este obligatorie pentru activarea patch‑ului de securitate.

Actualizarea Chrome remediează și alte două vulnerabilităţi de severitate medie: un defect de tip use‑after‑free în Password Manager și o problemă în implementarea Toolbar. Aceste erori pot fi utilizate în lanțuri de atac și, prin urmare, sunt incluse în același pachet de patch de securitate.

Utilizarea promptă a patch‑ului Chrome reduce expunerea la exploatarea în sălbăticie și consolidează protecția utilizatorilor. Monitorizarea continuă a actualizărilor de securitate și a rapoartelor de vulnerabilităţi rămâne esențială pentru menținerea unui mediu de navigare sigur.