Google Chrome är fortfarande den mest populära webbläsaren globalt, så det är ingen överraskning att angripare ständigt utformar avancerade sätt att kompromissa med plattformen och rikta in användare. Men utöver externa hot kan brister inom Chrome själv också sätta användare i riskzonen, vilket avslöjades i den senaste oktoberuppdateringen.
I ett pressmeddelande tillkännagav Google lanseringen av Chrome version 141.0.7390.65/.66 för Windows och MacOS och 141.0.7390.65 för Linux. Uppdateringen behandlar flera buggar och prestationsproblem, men mer kritiskt lappar det tre säkerhetssårbarheter relaterade till Chromes minneshantering, och två av dem klassificeras som högrisk.
- Läs också: Google har fixat en kritisk brist i Chrome som avslöjar lösenord
Farliga krombrister
Den farligaste bristen är CVE-2025-11458, en högbaserad buffertöverskridning av sårbarhet i Chromes synkkomponent. Detta minneskorruptionsfel gör det möjligt för angripare att krascha webbläsaren eller köra godtycklig kod, potentiellt installera spionprogram, stjäla referenser eller få kontroll över webbläsarens beteende.
Ett scenario involverar en användare som besöker en komprometterad webbplats som tyst skickar överbelastade synkroniseringsdata till Chrome. Medan användaren förblir omedveten, kan angripare utföra skadliga åtgärder utan att kräva förhöjda privilegier.
Google krediterade säkerhetsforskaren Raven från Kunlun Lab för att ha rapporterat problemet och tilldelat en $ 5.000 Bounty genom sitt sårbarhetsbelöningprogram.
Hög CVE-2025-11458: HEAP-buffertflöde i synk. Rapporterad av Raven på Kunlun Lab 2025-09-05
Hög CVE-2025-11460: Använd efter gratis i lagring. Rapporterad av Sombra 2025-09-23
Medium CVE-2025-11211: Av gränserna läses i WebCodecs. Rapporterad av Jakob Košir 2025-08-29
Den andra höga svårighetsbristen, CVE-2025-11460, påverkar Chromes lagringskomponent via en användningsfri sårbarhet. Skadliga skript inbäddade på webbsidor kan förstöra minne och krascha webbläsaren igen, utan att behöva användarinteraktion när sidan har laddats.
Den tredje bristen, CVE-2025-11211, är en sårbarhet med medelrisk i Chrome’s WebCodecs API. Angripare kan utnyttja detta genom att injicera skadliga videodata på webbplatser, vilket gör att Chromes avkodningsmotor kan läsa känslig information eller ställa in ytterligare exploater.
Trots den lägre svårighetsgraden av det sista felet delar alla tre sårbarheter en farlig egenskap: de kräver ingen användarinteraktion eller privilegium upptrappning, vilket gör dem främsta mål för drivande attacker och skadliga annonser.
Google har inte avslöjat om dessa sårbarheter har utnyttjats i naturen.
Steg för att skydda dina data
Användare uppmuntras starkt att uppdatera Chrome så snart den nya versionen blir tillgänglig. Även med patchen som appliceras, förblir vigilant online nödvändig, särskilt när det gäller att känna igen misstänkta webbplatser, undvika skuggiga tillägg och styra bort overifierade nedladdningar. Ju mindre interaktion attackerare behöver, desto mer proaktiva måste vi vara.
Vilka andra steg tar du för att skydda dina data online? Vi skulle gärna höra dina tankar.
Källa:
Google Chrome -blogg