CRITICAL🇬🇧 English

CVE-2025-6179

Ominięcie uprawnień w zarządzaniu rozszerzeniami Google ChromeOS

CVSS 9.8v3.1pub. 2025-06-16upd. 2025-07-02

Podatność w Google ChromeOS 16181.27.0 umożliwia lokalnemu atakującemu ominięcie mechanizmów zarządzania rozszerzeniami na zarządzanych urządzeniach Chrome. Jest to groźne, ponieważ atakujący może wyłączyć wymuszone rozszerzenia, uzyskać dostęp do trybu deweloperskiego i załadować niezatwierdzone rozszerzenia.

Pokaż oryginał (EN)

Permissions Bypass in Extension Management in Google ChromeOS 16181.27.0 on managed Chrome devices allows a local attacker to disable extensions and access Developer Mode, including loading additional extensions via exploiting vulnerabilities using the ExtHang3r and ExtPrint3r tools.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-276 (nieprawidłowe uprawnienia domyślne) dotyczy mechanizmu zarządzania rozszerzeniami w ChromeOS na zarządzanych urządzeniach. Atakujący z lokalnym dostępem do urządzenia może wykorzystać narzędzia ExtHang3r i ExtPrint3r, aby wyeksploitować tę podatność. W efekcie możliwe jest wyłączenie rozszerzeń wymuszonych przez politykę korporacyjną oraz odblokowanie trybu deweloperskiego (Developer Mode), co otwiera drogę do ładowania dodatkowych, nieautoryzowanych rozszerzeń.

Skutki

Atakujący może wyłączyć rozszerzenia bezpieczeństwa narzucone przez administratora, uzyskać dostęp do trybu deweloperskiego oraz załadować własne, potencjalnie złośliwe rozszerzenia — co może prowadzić do naruszenia poufności, integralności i dostępności danych na urządzeniu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie aktualizacji w Google Issue Tracker (issues.chromium.org/issues/b/399652193) i niezwłoczne wdrożenie poprawionej wersji ChromeOS po jej udostępnieniu przez Google.

Kogo dotyczy

Google ChromeOS w wersji 16181.27.0 na zarządzanych urządzeniach Chrome (managed Chrome devices).

Uwagi

Podatność dotyczy wyłącznie urządzeń zarządzanych (managed Chrome devices), co oznacza środowiska korporacyjne lub edukacyjne ze scentralizowanym zarządzaniem politykami. W opisie wymieniono konkretne narzędzia wykorzystywane do eksploitacji: ExtHang3r i ExtPrint3r. Mimo oceny CVSS 9.8, wymagany jest lokalny dostęp do urządzenia (AV:N w wektorze odnosi się do osiągalności sieciowej jedynie w kontekście klasyfikacji CVSS, jednak opis wskazuje na atakującego lokalnego).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Google Chrome Os

    OS
    Google
    16181.27.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2016-4171CRITICAL9.8⚠ KEVten sam produkt

Unspecified vulnerability in Adobe Flash Player 21.0.0.242 and earlier allows remote attackers to execute arbi...

CVE-2016-1019CRITICAL9.8⚠ KEVten sam produkt

Adobe Flash Player 21.0.0.197 and earlier allows remote attackers to cause a denial of service (application cr...

CVE-2014-0497CRITICAL9.8⚠ KEVten sam produkt

Integer underflow in Adobe Flash Player before 11.7.700.261 and 11.8.x through 12.0.x before 12.0.0.44 on Wind...

CVE-2019-13690CRITICAL9.6ten sam produkt

Inappropriate implementation in OS in Google Chrome on ChromeOS prior to 75.0.3770.80 allowed a remote attacke...

CVE-2022-2587CRITICAL9.8ten sam produkt

Out of bounds write in Chrome OS Audio Server in Google Chrome on Chrome OS prior to 102.0.5005.125 allowed a ...

CVE-2025-6179 — Ominięcie uprawnień w zarządzaniu rozszerzeniami Google ChromeOS — CRITICAL 9.8 | CVEbaza.pl