Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) pridala do svojho katalógu známych zneužitých zraniteľností (KEV) kritickú zero-day zraniteľnosť v grafickom engine ANGLE prehliadača Google Chromium.
Chyba, ktorá je sledovaná ako CVE-2025-14174, umožňuje vzdialeným útočníkom spúšťať prístup do pamäte cez škodlivú HTML stránku, čo môže viesť k spusteniu ľubovoľného kódu v prehliadačoch.
Táto chyba zabezpečenia, ktorá bola objavená a opravená len pred niekoľkými dňami, podčiarkuje pretrvávajúce hrozby pre prehliadače založené na prehliadači Chromium, ktoré dominujú na webe. Útočníci by ho mohli zneužiť na kompromisy, krádeže dát alebo nasadenie ransomvéru, hoci CISA zatiaľ neuvádza žiadne potvrdené väzby na ransomvér. Federálne úrady musia do 2. januára 2026 uplatniť zmierňujúce opatrenia, inak dotknuté produkty prestanú vyrábať.
CVE-2025-14174 sa nachádza v ANGLE, vrstve rozhrania OpenGL ES prehliadača Chromium, kde nesprávna kontrola hraníc umožňuje poškodenie pamäte. Vytvorená webová stránka môže vyvolať chybu počas vykresľovania, čím v niektorých scenároch obíde ochranu karantény.
Národná databáza zraniteľností (NVD) ju hodnotí ako vysokú závažnosť, pričom skoré hodnotenia CVSS v3.1 poukazujú na riziká spustenia kódu na diaľku.
CVE IDDescriptionCVSS v3.1 ScoreAffected VersionsPatched VersionCVE-2025-14174Ohraničený prístup k pamäti v ANGLE cez HTML8.8 (High)Chromium < 131.0.6778.200Chrome 131.0.6778.200
Hrana 131.0.3139.95+
Žiadne verejné indikátory kompromisu (IoC) sa neobjavili, ale aktéri hrozieb to pravdepodobne priradia k phishingu alebo škodlivej inzercii.
CISA nalieha na okamžitú opravu podľa záväznej prevádzkovej smernice (BOD) 22-01 pre federálne systémy, najmä cloudové služby. Organizácie by mali vyhľadávať neopravené prehliadače, presadzovať automatické aktualizácie a monitorovať anomálne zlyhania vykresľovania.
Google spustil opravy Stable Channel 10. decembra, čím posunul Chrome na verziu 131.0.6778.201. Microsoft Edge nasledoval s 131.0.3139.95, zatiaľ čo používatelia Opery by mali skontrolovať kanály dodávateľov. „Používateľom sa odporúča, aby po aktualizácii znova spustili prehliadače,“ uviedol Google vo svojich poznámkach k vydaniu.
Tento incident poukazuje na rozsiahlu útočnú plochu prehliadača Chromium, ktorá postihuje viac ako 70 % prehliadačov pre počítače. Bezpečnostné tímy na celom svete by mali uprednostňovať nápravu uprostred rastúceho využívania zero-day.
Sledujte nás na Google News, LinkedIn a X a získajte denné aktualizácie kybernetickej bezpečnosti. Kontaktujte nás a predstavte svoje príbehy.
