Η Google κυκλοφόρησε επείγουσα ενημέρωση ασφαλείας για τον Chrome με σκοπό την επιδιόρθωση έξι ευπαθειών, εκ των οποίων η μία, η CVE-2025-6558, εκμεταλλευόταν ήδη ενεργά από επιτιθέμενους για διαφυγή από το sandbox του προγράμματος περιήγησης.
Ευπάθεια υψηλής σοβαρότητας σε ANGLE και GPU
Η ευπάθεια CVE-2025-6558 χαρακτηρίστηκε ως υψηλής σοβαρότητας με βαθμολογία 8,8 και εντοπίστηκε από ερευνητές της Google Threat Analysis Group (TAG) στις 23 Ιουνίου. Το πρόβλημα εντοπίζεται σε ανεπαρκή επικύρωση μη έμπιστων δεδομένων στο ANGLE και το υποσύστημα GPU, το οποίο επηρεάζει τις εκδόσεις του Chrome πριν από την 138.0.7204.157.
Το ANGLE (Almost Native Graphics Layer Engine) είναι μια ανοιχτού κώδικα στρώση αφαίρεσης γραφικών που μεταφράζει εντολές OpenGL ES σε Direct3D, Metal, Vulkan και OpenGL, για χρήση στον Chrome. Επειδή επεξεργάζεται εντολές από πηγές όπως το WebGL, τυχόν σφάλματα στο ANGLE μπορεί να έχουν κρίσιμες επιπτώσεις στην ασφάλεια.
Η συγκεκριμένη ευπάθεια επιτρέπει σε απομακρυσμένο επιτιθέμενο, μέσω ειδικά διαμορφωμένης σελίδας HTML, να εκτελέσει αυθαίρετο κώδικα στη διεργασία GPU του Chrome, ξεπερνώντας τον περιορισμό του sandbox.
Η Google περιορίζει τις τεχνικές λεπτομέρειες προσωρινά
Η Google δήλωσε πως «η πρόσβαση στις λεπτομέρειες του σφάλματος θα παραμείνει περιορισμένη μέχρι να ενημερωθεί η πλειονότητα των χρηστών». Εάν η ευπάθεια σχετίζεται και με βιβλιοθήκη τρίτου κατασκευαστή, οι περιορισμοί ενδέχεται να παραμείνουν περισσότερο.
Το sandbox του Chrome είναι κρίσιμο στοιχείο ασφαλείας που απομονώνει διεργασίες του περιηγητή από το λειτουργικό σύστημα, αποτρέποντας τη διάδοση κακόβουλου λογισμικού στο υπόλοιπο σύστημα.
Άμεση ενημέρωση των χρηστών συνιστά η Google
Λόγω της ενεργής εκμετάλλευσης της CVE-2025-6558, οι χρήστες καλούνται να ενημερώσουν άμεσα τον Chrome στην έκδοση 138.0.7204.157 ή .158, ανάλογα με το λειτουργικό τους σύστημα. Αυτό μπορεί να γίνει από τη διεύθυνση chrome://settings/help, με την ανανέωση να ολοκληρώνεται μετά την επανεκκίνηση του περιηγητή.
Και άλλες διορθώσεις σημαντικών ευπαθειών
Η νέα ενημέρωση περιλαμβάνει επίσης επιδιορθώσεις για ακόμη πέντε σφάλματα, όπως η CVE-2025-7656 στο V8 engine και η CVE-2025-7657, σφάλμα τύπου use-after-free στο WebRTC, χωρίς όμως να υπάρχουν ενδείξεις για ενεργή εκμετάλλευσή τους.
Η CVE-2025-6558 αποτελεί την πέμπτη ενεργά εκμεταλλευόμενη ευπάθεια zero-day που εντοπίζεται και διορθώνεται στον Chrome μέσα στο 2025, μετά τις CVE-2025-2783 (Μάρτιος), CVE-2025-4664 (Μάιος), CVE-2025-5419 (Ιούνιος) και CVE-2025-6554 (Ιούλιος).
