Google vydal ďalšiu núdzovú bezpečnostnú záplatu pre prehliadač Chrome, ktorou rieši už štvrtú kritickú zraniteľnosť typu zero-day od začiatku roka. Tentoraz ide o chybu označenú ako CVE-2025-6554, ktorá bola aktívne zneužívaná útočníkmi.
Podľa oficiálneho vyhlásenia spoločnosti Google bol exploit zachytený a zmiernený 26. júna 2025 úpravou konfigurácie, ktorá bola okamžite nasadená do stabilnej verzie pre všetky platformy.
Oprava sa týka používateľov systému Windows (verzie 138.0.7204.96/.97), macOS (138.0.7204.92/.93) a Linux (138.0.7204.96), pričom bola dostupná už jeden deň po jej nahlásení výskumníkom. Preto si skontrolujte, či máte nainštalovanú práve túto verziu prehliadača s opravou.
Zraniteľnosť odhalil Clément Lecigne z bezpečnostného tímu Google Threat Analysis Group (TAG), ktorý sa špecializuje na odhaľovanie útokov sponzorovaných štátmi a na ochranu cieľových skupín – ako sú novinári, aktivisti či disidenti – pred sofistikovanými kybernetickými hrozbami.
CVE-2025-6554 je závažná chyba typu „use-after-free“ v JavaScriptovom enginu V8, ktorá môže po úspešnom zneužití umožniť útočníkovi spustiť ľubovoľný kód na zariadení obete. Google zatiaľ nezverejnil konkrétne detaily, no dôvodom je ochrana používateľov pred ďalším zneužitím, kým nebude väčšina systémov aktualizovaná.
Spoločnosť upozorňuje, že aktualizácie sa môžu šíriť niekoľko dní až týždňov, ale dnes sú už dostupné manuálne alebo automaticky pri reštarte prehliadača.
Toto je už štvrtý prípad zneužitej zero-day chyby v Chrome v roku 2025. Predchádzajúce prípady:
- Marec 2025 – chyba v sandboxe CVE-2025-2783, použitá v špionážnych kampaniach voči ruským cieľom
- Máj 2025 – CVE-2025-4664, umožňujúca prevziať účty používateľov
- Jún 2025 – chyba typu „out-of-bounds“ v JavaScripte, objavená tímom Google TAG
