2025. július első napjaiban a Google sürgősen kiadott egy frissítést Chrome böngészőjéhez – egészen pontosan a CVE-2025-6554 kódjelű nulladik napi (zero-day) sérülékenység miatt. A sebezhetőség a böngésző belső V8 JavaScript/WebAssembly motorjában található «type confusion» hiba, ami lehetővé teszi, hogy egy támadó egy előre megtervezett HTML oldal megnyitása után tetszőleges olvasási/írási műveleteket hajtson végre a memóriában – akár tetszőleges kódfuttatás kockázatával is járhat.
A Google Threat Analysis Group (TAG), élén Clément Lecigne vezető kutatóval, még június 25-én fedezte fel a hibát, és már június 26-án konfigurációs változással korlátozta a támadások lehetőségét, majd néhány napon belül kiadta a teljes javítást.
Mennyire súlyos?
-
A hibát már valós támadásokban is alkalmazták: a Google elismerte, hogy aktív kódfuttatásra alkalmas exploit létezik .
-
Ez már a negyedik Chrome nulladik napi sérülékenység, amelyet 2025-ben javítottak – korábban a CVE‑2025‑2783, CVE‑2025‑4664 és CVE‑2025‑5419 volt érintett
-
A V8 motorral kapcsolatos típuskezelési hibák különösen veszélyesek, mivel sandbox kijátszására is alkalmasak lehetnek .
Kit érint?
-
Windows, macOS és Linux felhasználók – mindhárom platformra megjelent már a javítás:
-
Windows: 138.0.7204.96/.97
-
Mac: 138.0.7204.92/.93
-
Linux: 138.0.7204.96
-
-
Chromium-alapú böngészők (Edge, Brave, Opera, Vivaldi) is érintettek lehetnek – a fejlesztőknek szintén frissíteniük kell
Mit tegyél MOST?
-
Nyisd meg a Chrome-ot, menj a Beállítások > Segítség > A Chrome névjegye menüpontra – ekkor automatikusan ellenőrzi, letölti és telepíti az új verziót.
-
Indítsd újra a böngészőt a telepítés befejezéséhez .
-
Ha vállalati környezetben dolgozol, ellenőrizd, hogy minden eszközön aktív az automatikus frissítés, vagy szerepel a konfigurációs menedzsment rendszerben – minél hamarabb telepítsd a patchet .
Miért jó ez a gyors reakció?
A Google TAG rendszeresen felfedi a legrejtettebb, minősített támadásokat használó sebezhetőségeket – és ezt a nulladik napi hibát is ilyen kontextusban azonosították. A gyors konfigurációs korlátozás, majd a böngésző gyorsfrissítése is mutatja, mennyire komoly fenyegetésről van szó .
Látható trend: a nulladik napik sorozaté – mit tanulhatunk ebből?
-
Gyakoriak a V8 motorral kapcsolatos típushibák – ezek memóriabiztonsági problémák, sandbox-áthidalási lehetőséget biztosítanak. Ezért fokozott figyelmet igényelnek .
-
Negyedik Chrome zero-day 2025-ben – ez is mutatja, hogy a böngészők sem mentesek a kritikus biztonsági fenyegetésektől.
-
Automatizált frissítés – életmentő lehet – egy ilyen exploit gyorsan képes lehet tömeges fertőzést előidézni, mielőtt a javítás eljut mindenkihez.
Összefoglalás
| Tényező | Mit kell tudnod |
|---|---|
| Mi történt? | CVE‑2025‑6554 – zero-day típuskezelési hiba a V8 motorban. |
| Kik érintettek? | Minden Chrome-felhasználó asztali platformokon és Chromium-alapú böngészők. |
| Mit tegyél? | Frissíts a stabil csatorna legújabb verziójára és indítsd újra a böngészőt MOST, ne várj! |
| Miért sürgős? | A hiba már aktívan kihasználásra került, és gyorsan telepített javítással kerülhető el a kockázat. |
Végszó
Ez az eset is rámutat: a böngésző többé nem csak kényelmi eszköz – értékes támadási felület is lehet. A nulladik napi sebezhetőségek elleni védelemben az automatikus frissítés, a biztonságtudatos böngészési szokások és a rendszeres patch-menedzsment kulcsfontosságú. Ha Chrome-ot használsz, ne halogasd – azonnal frissíts!
