CRITICAL✓ PATCH🇬🇧 English

CVE-2025-4052

Google Chrome DevTools — obejście kontroli dostępu przez błędną implementację

CVSS 9.8v3.1pub. 2025-05-05upd. 2025-05-28

Podatność w narzędziach deweloperskich (DevTools) przeglądarki Google Chrome umożliwia zdalnemu atakującemu obejście mechanizmów kontroli dostępu. Pomimo oceny CVSS 9.8, producent klasyfikuje podatność jako niską pod względem dotkliwości (Chromium security severity: Low), co wskazuje na znaczące rozbieżności między metryką bazową a rzeczywistym ryzykiem eksploatacji.

Pokaż oryginał (EN)

Inappropriate implementation in DevTools in Google Chrome prior to 136.0.7103.59 allowed a remote attacker who convinced a user to engage in specific UI gestures to bypass discretionary access control via a crafted HTML page. (Chromium security severity: Low)

🤖 Analiza AI
Jak działa

Atakujący przygotowuje specjalnie spreparowaną stronę HTML, która nakłania użytkownika do wykonania określonych gestów w interfejsie przeglądarki (UI gestures). Błędna implementacja w module DevTools powoduje, że interakcja ta pozwala na ominięcie uznaniowej kontroli dostępu (discretionary access control). Atak wymaga zatem aktywnego udziału użytkownika i wykonania przez niego konkretnych działań w przeglądarce.

Skutki

Atakujący może obejść mechanizmy kontroli dostępu w przeglądarce, co potencjalnie umożliwia nieuprawniony dostęp do chronionych zasobów lub funkcji. Zakres skutków zależy od kontekstu, w jakim podatność zostanie wykorzystana.

Mitygacja

Należy zaktualizować Google Chrome do wersji 136.0.7103.59 lub nowszej. Aktualizacja jest dostępna poprzez wbudowany mechanizm aktualizacji przeglądarki lub na stronie producenta zgodnie z referencjami.

Kogo dotyczy

Google Chrome w wersjach wcześniejszych niż 136.0.7103.59 na platformach desktopowych.

Uwagi

Istotna rozbieżność między oceną CVSS 9.8 (Critical) a klasyfikacją producenta (Chromium security severity: Low). Podatność wymaga aktywnej interakcji użytkownika z interfejsem, co w praktyce znacząco ogranicza ryzyko eksploatacji. Administratorzy powinni kierować się oceną producenta przy ustalaniu priorytetu wdrożenia patcha.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Google Chrome

    APP
    Google
    < 136.0.7103.59
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2024-7971CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome/Edge) umożliwiający heap corruption

CVE-2024-5274CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w V8 (Google Chrome) — RCE przez spreparowaną stronę HTML

CVE-2024-4947CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Type Confusion w silniku V8 Chrome — zdalne wykonanie kodu (RCE)

CVE-2024-4671CRITICAL9.6⚠ KEVPL ✓ten sam produkt

Use-after-free w Google Chrome Visuals umożliwiający ucieczkę z sandbox