Google publikuje aktualizacje przeglądarki Chrome do wersji 149.0.7827.53/54 (P26-214)

utworzone przez | cze 5, 2026 | Aktualizacje

ProduktStabilny kanał Chrome dla komputerów stacjonarnych – wersje wcześniejsze niż 149.0.7827.53/54
Numer CVECVE-2026-10881
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisOdczyt i zapis poza zakresem w ANGLE umożliwia manipulację pamięcią GPU za pośrednictwem WebGL. Atakujący może stworzyć złośliwą stronę internetową, która spowoduje uszkodzenie pamięci w potoku renderowania. Może to ostatecznie doprowadzić do zdalnego wykonania kodu i całkowitego przejęcia kontroli nad przeglądarką.
  
Numer CVECVE-2026-10882
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka typu „użyj po zwolnieniu” w warstwie sieciowej umożliwia wykonanie kodu podczas przetwarzania złośliwych odpowiedzi serwera. Luka może zostać wywołana podczas normalnego przeglądania bez konieczności posiadania podwyższonych uprawnień. Stanowi ona niezawodny punkt wejścia dla zdalnych atakujących.
  
Numer CVECVE-2026-10883
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisZapis poza zakresem w ANGLE umożliwia atakującym nadpisanie struktur pamięci GPU. To uszkodzenie może destabilizować renderowanie i zostać wykorzystane do wykonania dowolnego kodu. Aplikacje oparte na WebGL są częstym wektorem ataku.
  
Numer CVECVE-2026-10884
Krytyczność9,4/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisLuka typu „use-after-free” w Chromecast umożliwia przejęcie kontroli nad urządzeniem za pomocą złośliwych danych przesyłanych strumieniowo. Atak nie wymaga żadnej interakcji użytkownika, co czyni go szczególnie niebezpiecznym. Skuteczne wykorzystanie tej luki może zapewnić pełną kontrolę nad urządzeniem.
  
Numer CVECVE-2026-10885
Krytyczność9,3/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisMetoda „użyj po zwolnieniu” w Chrome na iOS umożliwia wykonywanie kodu w kontekście aplikacji. Chociaż piaskownica systemu ogranicza pełne zagrożenie urządzenia, wrażliwe dane użytkownika nadal mogą zostać ujawnione. Luka wymaga interakcji użytkownika, na przykład otwarcia strony internetowej.
  
Numer CVECVE-2026-10886
Krytyczność9,6/10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
OpisTa luka w systemie plików umożliwia manipulowanie strukturami pamięci związanymi z obsługą plików. Można ją wykorzystać do wyjścia z piaskownicy przeglądarki i uzyskania szerszego dostępu do systemu. Problem jest szczególnie niebezpieczny w połączeniu z innymi lukami.
  
Numer CVECVE-2026-10887
Krytyczność9,6/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisLuka w Chromotingu, polegająca na wykorzystaniu funkcji „use-after-free”, umożliwia zdalne wykonanie kodu lub przejęcie sesji. W niektórych scenariuszach atak może nastąpić bez interakcji użytkownika. To sprawia, że jest on niezwykle krytyczny dla środowisk korporacyjnych korzystających ze zdalnego dostępu.
  
Numer CVECVE-2026-10888
Krytyczność9,4/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisLuka w zabezpieczeniach przesyłania strumieniowego Cast umożliwia atakującym wykonanie kodu za pomocą spreparowanych danych multimedialnych. Exploit działa przez sieć i nie wymaga interakcji użytkownika. Stanowi poważne zagrożenie dla urządzeń inteligentnych i infrastruktury przesyłania strumieniowego.
  
Numer CVECVE-2026-10889
Krytyczność8,6/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
OpisOdczyt poza zakresem w ANGLE umożliwia atakującym dostęp do pamięci poza docelowym buforem. Może to skutkować ujawnieniem poufnych informacji, takich jak zawartość pamięci. Jest to często wykorzystywane jako element większego łańcucha exploitów.
  
Numer CVECVE-2026-10890
Krytyczność9,4/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisUse-after-free w Cast umożliwia atakującym wykonanie kodu i przejęcie kontroli nad urządzeniem. Exploit można uruchomić zdalnie przez sieć bez interakcji użytkownika. Może to prowadzić do trwałego naruszenia bezpieczeństwa systemu.
  
Numer CVECVE-2026-10891
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka w zabezpieczeniach typu „use-after-free” w podsystemie graficznym może zostać uruchomiona za pośrednictwem złośliwej zawartości wizualnej. Atakujący mogą ją wykorzystać za pośrednictwem zainfekowanych stron internetowych do wykonania kodu. Jest to typowy scenariusz ataku drive-by.
  
Numer CVECVE-2026-10892
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisZapis poza zakresem w GPU umożliwia atakującym nadpisanie pamięci w potoku renderowania. Może to skutkować wykonaniem dowolnego kodu za pośrednictwem WebGL. Luka jest wysoce podatna na wykorzystanie i charakteryzuje się niską złożonością.
  
Numer CVECVE-2026-10893
Krytyczność9,6/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisLuka związana z użyciem po zwolnieniu, umożliwia przechwycenie sesji lub wykonanie kodu. W niektórych przypadkach nie jest wymagana żadna interakcja użytkownika, co zwiększa jego wagę. Stanowi to poważne zagrożenie dla konfiguracji zdalnej administracji.
  
Numer CVECVE-2026-10894
Krytyczność9,0/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka związana z użyciem po zwolnieniu w module drukowania może zostać wykorzystana za pośrednictwem złośliwych dokumentów lub stron internetowych. Udane wykorzystanie luki może doprowadzić do wykonania kodu w przeglądarce. Atak wymaga interakcji użytkownika.
  
Numer CVECVE-2026-10895
Krytyczność9,6/10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
OpisLuka w warstwie ozonowej wpływa na zarządzanie wyświetlaniem i abstrakcję platformy. W pewnych warunkach może prowadzić do wykonania kodu lub ucieczki z piaskownicy. Szczególnie narażone są systemy takie jak Linux i ChromeOS.
  
Numer CVECVE-2026-10896
Krytyczność9,3/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka związana z wykorzystaniem funkcji „use-after-free” w przeglądarce Chrome na iOS umożliwia wykonywanie kodu w kontekście przeglądarki. Chociaż piaskownica ogranicza uszkodzenia, wrażliwe dane nadal mogą zostać ujawnione. Luka wymaga interakcji użytkownika.
  
Numer CVECVE-2026-10897
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisZapis poza zakresem w komponentach GPU umożliwia manipulowanie pamięcią wewnętrzną poprzez operacje renderowania. Atakujący mogą wykorzystać WebGL do wykorzystania tej luki. Ma ona bardzo wysoki wskaźnik skuteczności.
  
Numer CVECVE-2026-10898
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisPrzepełnienie bufora stosu w przetwarzaniu GPU umożliwia atakującym kontrolowanie przepływu wykonywania. Sfabrykowane dane graficzne mogą wywołać lukę w zabezpieczeniach. Prowadzi to bezpośrednio do zdalnego wykonania kodu.
  
Numer CVECVE-2026-10899
Krytyczność9,6/10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
OpisMetoda „use-after-free” w Ozone może destabilizować podsystem graficzny i umożliwić wykonywanie kodu. Wpływa to na warstwę abstrakcji platformy przeglądarki. W niektórych przypadkach może umożliwić ucieczkę z sandboxa.
  
Numer CVECVE-2026-10900
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisLuka w zabezpieczeniach typu „use-after-free” w menedżerze haseł może ujawnić przechowywane dane uwierzytelniające. Atakujący mogą również doprowadzić do wykonania kodu w przeglądarce. To sprawia, że ​​luka ta jest niezwykle krytyczna dla bezpieczeństwa użytkownika.
  
Numer CVECVE-2026-10901
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisPodobnie jak poprzedni problem, ta luka umożliwia dostęp do poufnych danych dotyczących haseł. Można ją łączyć z innymi exploitami w celu przeprowadzania bardziej zaawansowanych ataków. Jej wpływ na poufność jest poważny.
  
Numer CVECVE-2026-10902
Krytyczność9,6/10
CVSSAV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
OpisLuka w zabezpieczeniach typu „użyj po zwolnieniu” w Ozone umożliwia atakującym manipulowanie sposobem renderowania interfejsu graficznego. Może to skutkować wykonaniem kodu i potencjalnie obejściem zabezpieczeń sandbox. Stanowi to poważne zagrożenie dla stabilności systemu.
  
AktualizacjaTAK
Linkhttps://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop.html