Η Google επιβεβαίωσε ότι σχεδόν και οι 3,5 δισεκατομμύρια χρήστες του προγράμματος περιήγησης Chrome πρόκειται να λάβουν μια ενημέρωση ασφαλείας που αντιμετωπίζει τουλάχιστον οκτώ ευπάθειες υψηλού κινδύνου. Ευτυχώς, καμία από αυτές δεν είναι τύπου «zero-day», πράγμα που σημαίνει ότι δεν υπάρχουν ενδείξεις εκμετάλλευσής τους από κακόβουλους παράγοντες.
Παρόλο που ο Chrome εφαρμόζει αυτές τις ενημερώσεις αυτόματα, η Google προειδοποιεί ότι η ολοκλήρωση της διαδικασίας μπορεί να διαρκέσει ημέρες ή εβδομάδες. Για τον λόγο αυτό, οι χρήστες συμβουλεύονται να ξεκινήσουν τη διαδικασία χειροκίνητα για άμεση προστασία.
Τι γνωρίζουμε για τις νέες ευπάθειες ασφαλείας του Google Chrome
Ο Srinivas Sista της Google επιβεβαίωσε την αναβάθμιση στην έκδοση 146.0.7680.164/165 για Windows και Mac και 146.0.76380.164 για χρήστες Android.
Οι λεπτομέρειες των οκτώ κενών ασφαλείας παραμένουν περιορισμένες μέχρι να ενημερωθεί η πλειοψηφία των χρηστών, ωστόσο είναι γνωστό ότι επηρεάζουν στοιχεία όπως τα WebAudio, WebGL, WebGPU, CSS και Chrome Fonts.
Οι κωδικοί αναφοράς CVE περιλαμβάνουν προβλήματα όπως «Heap buffer overflow» και «Use-after-free», τα οποία έχουν λάβει υψηλή βαθμολογία σοβαρότητας. Παρόλο που δεν είναι τόσο κρίσιμα όσο προηγούμενες απειλές που έθεταν σε κίνδυνο εκατομμύρια συσκευές σε δευτερόλεπτα, κάθε καταγεγραμμένη ευπάθεια πρέπει να αντιμετωπίζεται με σοβαρότητα.
Πώς να προστατευτείτε άμεσα
Για να βεβαιωθείτε ότι η ενημέρωση έχει ενεργοποιηθεί, ακολουθήστε τη διαδρομή Βοήθεια – Σχετικά με το Google Chrome στο μενού με τις τρεις τελείες. Η εφαρμογή θα ελέγξει για την έκδοση και θα κατεβάσει την ενημέρωση αν είναι διαθέσιμη. Είναι απαραίτητο να επανεκκινήσετε τον περιηγητή για να οριστικοποιηθεί η προστασία.
ShadowPrompt: Εκμετάλλευση επέκτασης για επιθέσεις «0-Click»
Παράλληλα, ήρθε στο φως η αποκάλυψη της ευπάθειας «ShadowPrompt», η οποία επηρέαζε την επέκταση Claude της Anthropic για τον Chrome. Η συγκεκριμένη ευπάθεια θα μπορούσε να επιτρέψει σε έναν ιστότοπο να εισάγει εντολές AI χωρίς την άδεια ή οποιοδήποτε κλικ του χρήστη.
Ο Oren Yomtov, ερευνητής ασφαλείας, εξήγησε ότι η επίθεση βασιζόταν σε μια υπερβολικά ελαστική λίστα επιτρεπόμενων προελεύσεων και ένα κενό XSS. Η Anthropic και η Arkose Labs έχουν ήδη διορθώσει το πρόβλημα. Οι χρήστες της επέκτασης Claude θα πρέπει να επιβεβαιώσουν ότι διαθέτουν την έκδοση 1.0.41 ή νεότερη.
Οι οκτώ ευπάθειες ασφαλείας, όλες με υψηλή βαθμολογία σοβαρότητας στο Κοινό Σύστημα Αξιολόγησης Τρωτότητας (CVSS), είναι οι εξής:
CVE-2026-4673: Υπερχείλιση buffer σωρού (Heap buffer overflow) στο WebAudio
CVE-2026-4674: Ανάγνωση εκτός ορίων (Out-of-bounds read) στο CSS
CVE-2026-4675: Υπερχείλιση buffer σωρού (Heap buffer overflow) στο WebGL
CVE-2026-4676: Χρήση μετά την απελευθέρωση (Use after free) στο Dawn (μέρος της υλοποίησης του WebGPU)
CVE-2026-4677: Ανάγνωση εκτός ορίων (Out-of-bounds read) στο WebAudio
CVE-2026-4678: Χρήση μετά την απελευθέρωση (Use-after-free) στο WebGPU
CVE-2026-4679: Υπερχείλιση ακεραίου (Integer overflow) στις Γραμματοσειρές (Fonts)
CVE-2026-4680: Χρήση μετά την απελευθέρωση (Use after free) στο FedCM (ένα στοιχείο ελέγχου ταυτότητας με επίκεντρο το απόρρητο)
