2025. november 18-án a Google sürgősségi biztonsági frissítést adott ki a Chrome böngészőhöz: egy olyan, magas súlyosságú 0-day hibát foltoznak, amelyet a vállalat szerint már aktívan kihasználnak támadók. A CVE-2025-13223 azonosítójú sebezhetőség a Chrome V8 JavaScript és WebAssembly motorját érinti, és távoli kódfuttatást, böngésző-összeomlást, sőt akár a gép feletti irányítás megszerzését is lehetővé teheti, ha a felhasználó megnyit egy rosszindulatú weboldalt.
Újabb év, újabb Chrome 0-day hullám
A Chrome évek óta a világ egyik legnépszerűbb böngészője, ezért a támadók számára is kiemelt célpont. 2025-ben ez már a hetedik olyan 0-day sérülékenység, amelyet a Google szerint ténylegesen kihasználtak támadások során, mielőtt a javítás megjelent volna. Ez a mostani frissítés illeszkedik abba a trendbe, hogy a böngészők nem csupán „programok”, hanem teljes értékű futtatókörnyezetek, amelyekben egyetlen memóriakezelési hiba is láncreakciót indíthat.
A Chrome csapata az elmúlt években rengeteget invesztált memória-biztonsági eszközökbe (AddressSanitizer, MemorySanitizer, fuzzerek), de a mostani eset is jelzi: a komplex motorokban továbbra is felbukkannak olyan hibák, amelyeket profi, gyakran kormányzati hátterű támadók igyekeznek villámgyorsan kihasználni.
Mi változott most konkrétan? – az új Chrome verziók és a javított hibák
A Google hivatalos kiadási jegyzéke szerint a stabil csatorna az alábbi verziókra frissült asztali rendszereken:
- Windows: 142.0.7444.175 vagy 142.0.7444.176
- macOS: 142.0.7444.176
- Linux: 142.0.7444.175
A frissítés két, magas súlyosságú hibát javít a V8 motorban:
- CVE-2025-13223 – type confusion a V8-ban, 8,8-as CVSS pontszámmal, aktívan kihasznált 0-day
- CVE-2025-13224 – szintén type confusion a V8-ban, de jelen állás szerint nem ismert aktív kihasználás
A Google külön is hangsúlyozza, hogy a CVE-2025-13223-at már a vadonban is exploitálják, ezért tartották szükségesnek a sürgősségi kiadást. A hibát Clément Lecigne, a Threat Analysis Group (TAG) szakértője jelentette november 12-én, vagyis a bejelentés és a fix között mindössze néhány nap telt el – ez kifejezetten gyors reakcióidő egy ekkora projektnél.
Mi az a „type confusion” és miért ennyire veszélyes?
A mostani hibák a type confusion kategóriába tartoznak. Egyszerűen fogalmazva: a böngésző bizonyos helyzetekben rossz típusú adatként kezeli azt, ami a memóriában valójában tárolva van. Ha egy támadó egy gondosan felépített weboldallal rá tudja venni a böngészőt, hogy „félreértse”, mi található a memóriában, akkor:
- olyan területekhez férhet hozzá, amelyekhez nem lenne szabad,
- tetszőleges adatot írhat, felülírhat,
- végső soron saját kódot futtathat a böngésző folyamatában.
Egy ilyen hiba önmagában „csak” a böngészőn belül adhat teljes kontrollt, de kombinálva más sérülékenységekkel – például sandbox-kikerüléssel – már a teljes operációs rendszer, vagy legalábbis a felhasználói fiók feletti uralmat eredményezheti. Nem véletlen, hogy az ilyen bugok gyakran jelennek meg kémprogram-kampányokban, ahol újságírókat, aktivistákat vagy politikusokat céloznak.
Mit jelent ez a felhasználóknak és a vállalatoknak?
Jó hír, hogy a Chrome alapértelmezés szerint automatikusan frissül, de az új verzió ténylegesen csak a böngésző újraindítása után lép életbe. Ha valaki hetekig nem zárja be teljesen a böngészőt, simán előfordulhat, hogy úgy gondolja, „update-elve van”, miközben még mindig a sebezhető build fut.
Ezért kritikus most az alábbiak ellenőrzése:
- Nyisd meg a Chrome menüjét, majd: Súgó – A Google Chrome névjegye (vagy írd be: chrome://settings/help).
- Ellenőrizd, hogy a verziószám legalább 142.0.7444.175 / .176.
- Ha frissítés folyamatban van, várd meg, majd indítsd újra a böngészőt.
Vállalati környezetben a helyzet még érzékenyebb: sok szervezet használ központi menedzsmentet (GPO, MDM, Chrome Enterprise), ezért a rendszergazdáknak célszerű ellenőrizniük, hogy a frissítés valóban minden érintett gépre eljutott, és nincs-e olyan gépcsoport, ahol a frissítés valamilyen policy vagy tűzfalszabály miatt elakad.
Legfontosabb technikai adatok egy táblázatban
| Legfontosabb paraméter | Chrome sürgősségi biztonsági frissítés, aktívan kihasznált 0-day javítása |
|---|---|
| Érintett platformok | Windows, macOS, Linux (asztali Chrome) |
| Biztonságos verziók | Windows: 142.0.7444.175 / 142.0.7444.176; macOS: 142.0.7444.176; Linux: 142.0.7444.175 |
| Fő sebezhetőség | CVE-2025-13223, type confusion a V8 motorban, CVSS 8,8, aktívan kihasznált 0-day |
| Másodlagos sebezhetőség | CVE-2025-13224, type confusion a V8-ban, jelenleg nem ismert aktív kihasználás |
| Felfedező | Clément Lecigne (Google TAG) – CVE-2025-13223; Big Sleep – CVE-2025-13224 |
| Kiadás dátuma | 2025. november 17. (stabil csatorna frissítés), 2025. november 18-tól széles körű figyelmeztetés |
Magyar vonatkozások: miért különösen lényeges ez itthon?
Magyarországon a Chrome továbbra is meghatározó böngésző a lakossági és a vállalati szegmensben is. Sok kis- és középvállalkozás, szolgáltató, illetve önkormányzat napi szinten dolgozik Chrome-alapú webes adminisztrációs felületekkel, felhős ERP-kkel, banki és állami portálokkal. Egy böngészőn keresztüli kompromittálás ezért azonnal érzékeny üzleti és személyes adatokhoz adhat hozzáférést.
A magyar felhasználók számára a legfontosabb teendők:
- Minden munkaállomáson ellenőrizni a Chrome verzióját, különösen ott, ahol pénzügyi, egészségügyi vagy ügyféladatokkal dolgoznak.
- Ha valaki Chromium-alapú alternatív böngészőt használ (Edge, Brave, Vivaldi, Opera), figyelni kell a saját frissítéseikre is, mert ezek általában a Chrome kódjára épülnek.
- Célszerű a dolgozókat emlékeztetni arra, hogy ne nyissanak meg gyanús e-mail linkeket, és ne telepítsenek ismeretlen böngésző-kiegészítőket – a 0-day-eket gyakran célzott spear-phishing kampányokkal kombinálják.
Mi jön ezután? – trendek a böngészőbiztonságban
A 2025-ös év Chrome szempontból nagyon erős figyelmeztetés: már most hét, aktívan kihasznált 0-day sebezhetőséget kellett tűzoltás-szerűen javítani. Ez három fontos trendet jelez:
- A böngésző továbbra is az egyik legfontosabb támadási felület – aki irányítja a böngészőt, az gyakorlatilag látja a teljes digitális életünket.
- A kormányzati hátterű vagy kereskedelmi spyware-szállítók (mercenary spyware) óriási pénzeket fizetnek a böngésző 0-day-ekért, ezért folyamatosan vadásznak rájuk.
- A védekezés frontján a gyors frissítés és az automatikus update lett az új „tűzfal” – ha mindenki napon belül telepíti a patcheket, a 0-day ablak drasztikusan szűkül.
Nem kizárt, hogy a közeljövőben még agresszívabb update-stratégiát látunk majd: a blogoszféra és a szakmai portálok már most is arról írnak, hogy a böngészők egyre inkább „szervizként” működnek, ahol a felhasználó mozgástere az update-ek kikapcsolására minimális lesz.
Gyakorlati checklist: mit tegyél most, ha Chrome-ot használsz?
- Ellenőrizd a verziószámot: legyen legalább 142.0.7444.175 / .176.
- Ha frissítés érhető el, indítsd újra a böngészőt, ne halaszd későbbre.
- Vállalatnál kérdezd meg az IT-t, hogy van-e központi Chrome-menedzsment, és lefutott-e már a patch.
- Ha Chromium-alapú alternatív böngészőt használsz, nézd meg, kaptak-e már frissítést a fejlesztőktől.
- Figyelj jobban a gyanús e-mailekre, letöltésekre és böngésző-bővítményekre – egy 0-day gyakran csak a belépő egy komplexebb támadási láncban.
GYIK – gyakran ismételt kérdések a mostani Chrome frissítésről
Kérdés: Elég, ha megvárom, míg a Chrome magától frissül?
Válasz: A frissítés automatikusan letöltődik, de csak akkor aktiválódik, ha újraindítod a böngészőt. Ezért érdemes manuálisan ránézni az „A Chrome névjegye” menüpontra, és kézzel újraindítani.
Kérdés: Minden Chrome-felhasználó érintett?
Válasz: Minden olyan asztali Chrome, amely a javítás előtti verziót futtatja, elvben sebezhető. A támadók jellemzően célzott célpontokra lőnek, de a sérülékenység technikailag bárki ellen bevethető.
Kérdés: Mi a helyzet az Androidos Chrome-mal?
Válasz: A mostani sürgősségi frissítés kifejezetten az asztali verziókat érinti (Windows, macOS, Linux). Ettől függetlenül Androidon is érdemes frissíteni a böngészőt a Play Áruházon keresztül, mert más hibajavítások is érkezhetnek.
Kérdés: Ha Edge/Brave/Vivaldi böngészőt használok, biztonságban vagyok?
Válasz: Ezek a böngészők is Chromium-alapokra épülnek, vagyis ugyanazokat az alacsony szintű komponenseket használják. A saját fejlesztőik által kiadott frissítésekre támaszkodnak, így meg kell várni, amíg ők is beemelik a Chromium javításait.
Kérdés: Kell-e valamit külön tenni vállalati környezetben?
Válasz: Igen, ott célszerű ellenőrizni a szoftverleltárt és a frissítési compliance-et. Ha van MDM vagy Chrome Enterprise menedzsment, érdemes jelentést kérni arról, hogy hány gépen fut már a javított verzió, és hol akad el a roll-out.
