Η Google διέθεσε επειγόντως μια ενημέρωση ασφαλείας για τον περιηγητή Chrome, αντιμετωπίζοντας μια ευπάθεια υψηλής σοβαρότητας τύπου «use-after-free» που θα μπορούσε να επιτρέψει σε επιτιθέμενους να εκτελέσουν αυθαίρετο κώδικα στα συστήματα των χρηστών.
Chrome: Ποια έκδοση περιλαμβάνει τη διόρθωση
Η επιδιόρθωση περιλαμβάνεται στην έκδοση 141.0.7390.107 για Linux και 141.0.7390.107/.108 για Windows και macOS, η οποία άρχισε να διανέμεται στο κανάλι Stable αυτή την εβδομάδα.
Οι πλήρεις σημειώσεις έκδοσης περιγράφουν τις αλλαγές, με την ενημέρωση να αναμένεται να φτάσει στους περισσότερους χρήστες τις επόμενες ημέρες ή εβδομάδες.
Η ευπάθεια CVE-2025-11756 και το Safe Browsing
Η ευπάθεια, με τον κωδικό CVE-2025-11756, εντοπίζεται στη λειτουργία Safe Browsing του Chrome, ένα βασικό χαρακτηριστικό που έχει σχεδιαστεί για να προστατεύει τους χρήστες από κακόβουλους ιστότοπους και επιθέσεις phishing.
Ανακάλυψη από ανεξάρτητο ερευνητή
Ανακαλύφθηκε από τον ανεξάρτητο ερευνητή «as nine» στις 25 Σεπτεμβρίου 2025 και επιβραβεύθηκε με το ποσό των $7.000 μέσω του Προγράμματος Ανταμοιβής Ευπαθειών της Google.
Τι είναι το «use-after-free»
Τα σφάλματα τύπου «use-after-free» συμβαίνουν όταν λογισμικό συνεχίζει να προσπελαύνει μνήμη που έχει ήδη ελευθερωθεί, κάτι που μπορεί να οδηγήσει σε κρασαρίσματα, καταστροφή δεδομένων ή και εκμετάλλευση.
Κίνδυνος απομακρυσμένης εκτέλεσης κώδικα
Σε αυτή την περίπτωση, οι επιτιθέμενοι θα μπορούσαν να εκμεταλλευτούν το σφάλμα για να εισάγουν και να εκτελέσουν κακόβουλο κώδικα, παρακάμπτοντας τα sandbox ασφαλείας και θέτοντας σε κίνδυνο ολόκληρο το περιβάλλον του περιηγητή.
Η Google κατατάσσει το ζήτημα ως υψηλής σοβαρότητας, τονίζοντας τη δυνατότητα απομακρυσμένης εκμετάλλευσης χωρίς αλληλεπίδραση του χρήστη. Αρκεί η επίσκεψη σε μια επιβλαβή ιστοσελίδα για να ενεργοποιηθεί η επίθεση.
Καθυστέρηση δημοσιοποίησης τεχνικών λεπτομερειών
Αν και δεν έχουν αναφερθεί ευρέως περιπτώσεις εκμετάλλευσης, η εταιρεία περιόρισε αρχικά τις λεπτομέρειες του σφάλματος για να εξασφαλίσει ότι οι περισσότεροι χρήστες θα έχουν ενημερωθεί προτού γίνουν δημόσιες.
Αυτό συνάδει με τη στρατηγική ασφαλείας της Google, σύμφωνα με την οποία η πλήρης δημοσιοποίηση καθυστερεί μέχρι να διανεμηθούν οι διορθώσεις.
Χρήση εργαλείων εντοπισμού σφαλμάτων
Η διόρθωση ενισχύθηκε με τη χρήση των εργαλείων ανίχνευσης της Google, όπως τα AddressSanitizer, MemorySanitizer και libFuzzer, που βοηθούν στον εντοπισμό σφαλμάτων μνήμης στα πρώτα στάδια της ανάπτυξης.
Η Google ευχαρίστησε επίσης εξωτερικούς ερευνητές για τη συμβολή τους σε αυτόν τον κύκλο ενημερώσεων, αποτρέποντας την εμφάνιση άλλων σφαλμάτων σε σταθερές εκδόσεις.
Σύσταση προς τους χρήστες
Οι χρήστες θα πρέπει να ενημερώσουν άμεσα τον Chrome μέσω του μενού ρυθμίσεων του περιηγητή ή να περιμένουν την αυτόματη ενημέρωση. Καθώς οι απειλές μέσω browser εξελίσσονται, το περιστατικό αυτό υπογραμμίζει τη σημασία της έγκαιρης ενημέρωσης για την προστασία από εξελιγμένες επιθέσεις.
