Google випустив Chrome 134 та виправив 14 уразливостей

Lead Компанія Google оновила свій браузер Chrome до версії 134, в якій знайдено 14 уразливостей, включаючи критичну помилку, що може призвести до збоїв, витоку даних або довільного виконання коду. Виправлення. Оновлення доступне для Windows, macOS та Linux.

Chrome 134 (версії 134.0.6998.35/36 для Windows, 134.0.6998.44/45 для macOS і 134.0.6998.35 для Linux) містить виправлення вразливостей у V8 JavaScript-рушії, DevTools та PDFium.

• Найсерйозніша вразливість CVE-2025-1914 – помилка out-of-bounds (OOB) читання у V8, яка дозволяла отримати доступ до пам’яті за межами виділеного буфера. Виправлено завдяки покращенню перевірки меж масивів.
• CVE-2025-1915 – вразливість у DevTools, що дозволяла зловмисникам отримати несанкціонований доступ до файлової системи. Виправлена за допомогою перевірки шляхів файлів.
• CVE-2025-1916 – use-after-free (UAF) у системі керування профілями, що могло призвести до пошкодження пам’яті. Google змінила порядок збору сміття для усунення проблеми.
• CVE-2025-1917 – помилка у браузерному UI на Android, що дозволяла атакуючим імітувати діалогові вікна для викрадення прав доступу. Виправлена перевіркою url::Origin.
• CVE-2025-1918 – помилка у PDFium при обробці XFA-форм. Виправлена завдяки перевірці індексів масивів.
• CVE-2025-1919 – уразливість у Media API, яка дозволяла обходити обмеження потоків WebRTC, виправлена посиленням перевірок безпеки.

GoogleChrome активно вдосконалюється у відповідь на нові загрози. Програма винагороди за виявлення вразливостей (VRP) заохочує дослідників виявляти вразливості, і це оновлення принесло понад 23 500 доларів США у вигляді винагороди. Chrome можна оновити вручну за допомогою chrome://settings/help або увімкнувши автоматичне оновлення. Адміністратори повинні використовувати GPO або Chrome Browser Cloud Management для розгортання нових версій.