Η Google κυκλοφόρησε μια κρίσιμη ενημέρωση ασφαλείας για το Chrome, προωθώντας το κανάλι Stable στην έκδοση 145.0.7632.159/160 για Windows και Mac και 145.0.7632.159 για Linux. Η ενημερωμένη έκδοση αντιμετωπίζει 10 ευπάθειες ασφαλείας, συμπεριλαμβανομένων τριών που έχουν χαρακτηριστεί ως Κρίσιμες, και θα κυκλοφορήσει στους χρήστες τις επόμενες ημέρες και εβδομάδες.
Η έκδοση ακολουθεί την υπεύθυνη αποκάλυψη από ανεξάρτητους ερευνητές ασφαλείας και εσωτερικές ομάδες της Google, με τις ανταμοιβές bounty bug να φτάνουν έως και τα $33.000 για ένα μόνο ελάττωμα.
Οι χρήστες ενθαρρύνονται ιδιαίτερα να ενημερώσουν τα προγράμματα περιήγησής τους αμέσως, καθώς η πρόσβαση σε πλήρεις λεπτομέρειες σφαλμάτων παραμένει περιορισμένη έως ότου η πλειοψηφία της βάσης χρηστών λάβει την επιδιόρθωση.
Κρίσιμα και υψηλής σοβαρότητας τρωτά σημεία
Τρία από τα δέκα διορθωμένα ελαττώματα φέρουν βαθμολογία κρίσιμης σοβαρότητας. Το πιο αξιοσημείωτο είναι το CVE-2026-3536, μια υπερχείλιση ακέραιου αριθμού στο επίπεδο γραφικών ANGLE του Chrome, που αναφέρθηκε από τον ερευνητή cinzinga στις 18 Φεβρουαρίου 2026, η οποία κέρδισε μπόνους 33.000 $.
Ένα δεύτερο κρίσιμο ελάττωμα, το CVE-2026-3537, περιλαμβάνει ένα ζήτημα κύκλου ζωής αντικειμένου στο PowerVR, που αναφέρεται από Zhihua Yao του εργαστηρίου KunLun στις 8 Ιανουαρίου, κερδίζοντας $32.000. Το τρίτο κρίσιμο σφάλμα, το CVE-2026-3538, είναι μια υπερχείλιση ακέραιου αριθμού στη μηχανή γραφικών Skia, που αναφέρεται από Συμεών Παρασχούδης στις 17 Φεβρουαρίου.
Οι υπόλοιπες επτά ευπάθειες βαθμολογούνται με υψηλή σοβαρότητα και καλύπτουν μια σειρά υποσυστημάτων του Chrome, από V8 και WebAssembly έως CSS και Navigation.
| Αναγνωριστικό CVE | Αυστηρότητα | Συστατικό | Τύπος | Δημοσιογράφος |
|---|---|---|---|---|
| CVE-2026-3536 | Κρίσιμος | ΓΩΝΙΑ | Υπερχείλιση ακέραιου αριθμού | cinzinga |
| CVE-2026-3537 | Κρίσιμος | PowerVR | Ζήτημα κύκλου ζωής αντικειμένου | Zhihua Yao, KunLun Lab |
| CVE-2026-3538 | Κρίσιμος | Σκιά | Υπερχείλιση ακέραιου αριθμού | Συμεών Παρασχούδης |
| CVE-2026-3539 | Ψηλά | DevTools | Ζήτημα κύκλου ζωής αντικειμένου | Zhenpeng (Leo) Lin, πρώτος στο βάθος |
| CVE-2026-3540 | Ψηλά | WebAudio | Ακατάλληλη Εφαρμογή | Davi Antônio Cruz |
| CVE-2026-3541 | Ψηλά | CSS | Ακατάλληλη Εφαρμογή | Syn4pse |
| CVE-2026-3542 | Ψηλά | WebAssembly | Ακατάλληλη Εφαρμογή | qymag1c |
| CVE-2026-3543 | Ψηλά | V8 | Ακατάλληλη Εφαρμογή | qymag1c |
| CVE-2026-3544 | Ψηλά | WebCodecs | Υπερχείλιση buffer σωρού | c6eed09fc8b174b0f3eebedcceb1e792 |
| CVE-2026-3545 | Ψηλά | Πλοήγηση | Ανεπαρκής επικύρωση δεδομένων |
Το εύρος των επηρεαζόμενων στοιχείων, που εκτείνεται σε απόδοση γραφικών (ANGLE, Skia, PowerVR), εκτέλεση JavaScript (V8), πολυμέσα (WebAudio, WebCodecs) και πρότυπα Ιστού (CSS, WebAssembly), αντικατοπτρίζει την ευρεία επιφάνεια επίθεσης που εκθέτουν τα σύγχρονα προγράμματα περιήγησης, σύμφωνα με τη συμβουλή της Google.
Τα σφάλματα υπερχείλισης ακεραίων και υπερχείλισης buffer σωρού, ειδικότερα, χρησιμοποιούνται συχνά για την επίτευξη απομακρυσμένης εκτέλεσης κώδικα ή διαφυγών sandbox.
Η Google χρησιμοποιεί πολλά εργαλεία αυτοματοποιημένης ανίχνευσης στη γραμμή ανάπτυξής της, συμπεριλαμβανομένων των AddressSanitizer, MemorySanitizer, libFuzzer και AFL, τα οποία βοηθούν στην αντιμετώπιση προβλημάτων ασφάλειας της μνήμης πριν φτάσουν στο σταθερό κανάλι.
Προτεινόμενες ενέργειες:
- Ενημερώστε το Chrome αμέσως με πλοήγηση στο Ρυθμίσεις → Βοήθεια → Σχετικά με το Google Chrome
- Οι διαχειριστές επιχειρήσεων θα πρέπει να προωθήσουν την ενημέρωση μέσω πολιτικής σε όλα τα διαχειριζόμενα τελικά σημεία
- Παρακολουθήστε τη Σελίδα ασφαλείας του Chrome για πλήρεις αποκαλύψεις CVE μόλις ολοκληρωθεί η διάθεση
- Αναφέρετε νέα ζητήματα απευθείας μέσω του crbug.com
Η Google δεν έχει αποκαλύψει κανένα στοιχείο ενεργητικής εκμετάλλευσης για καμία από τις δέκα ευπάθειες αυτήν τη στιγμή, αλλά οι αξιολογήσεις Critical καθιστούν την άμεση ενημέρωση κώδικα προτεραιότητα για όλους τους χρήστες του Chrome σε όλες τις πλατφόρμες.
