Vulnerabilitate Use After Free identificată în Chrome

Google a lansat o actualizare de securitate urgentă pentru Chrome în vederea remedierii unei vulnerabilități de tip use-after-free (CVE-2025-9478) din biblioteca grafică ANGLE, ce ar putea permite atacatorilor să execute cod arbitrar pe sistemele compromise.

Vulnerabilitatea afectează versiunile Chrome anterioare versiunii 139.0.7258.154/.155 pe platformele Windows, Mac și Linux.

Vulnerabilitatea se află în biblioteca ANGLE (Almost Native Graphics Layer Engine) a Chrome, care convertește apelurile API OpenGL ES în API-uri grafice specifice hardware-ului, inclusiv Direct3D, Vulkan și OpenGL nativ.

Vulnerabilitățile de tip use-after-free apar atunci când un program continuă să utilizeze un pointer de memorie după ce memoria a fost realocată, oferind oportunități pentru manipularea heap-ului și atacuri de corupere a memoriei.

Exploatarea cu succes ar permite atacatorilor să execute cod arbitrar cu privilegiile procesului de redare Chrome, ceea ce ar putea duce la evadarea din sandbox și compromiterea completă a sistemului.

Vulnerabilitatea este deosebit de alarmantă datorită utilizării pe scară largă a ANGLE în aplicațiile web care utilizează redarea WebGL, operațiunile HTML5 Canvas și procesarea grafică accelerată de GPU.

Atacatorii ar putea folosi atacuri de tip drive-by download, reclame malițioase sau site-uri web compromise pentru a lansa payload-uri de exploatare ce vizează această vulnerabilitate de corupere a memoriei.

Se recomandă prioritate implementării imediate a versiunii Chrome 139.0.7258.154 sau a unei versiuni ulterioare pentru a reduce riscurile de exploatare.

Sursă: https://cybersecuritynews.com/chrome-use-after-free-vulnerability-2/