Sytuacja jest poważna, ponieważ jest to już siódmy tego typu incydent w 2025 roku, co pokazuje, jak intensywny jest wyścig zbrojeń między inżynierami bezpieczeństwa a hakerami. Google oficjalnie potwierdził istnienie exploita działającego „na wolności”, co w żargonie cyberbezpieczeństwa oznacza, że kod pozwalający na przejęcie kontroli nad przeglądarką (a potencjalnie i systemem) krąży w sieci i jest używany przeciwko konkretnym celom. Sprawa dotyczy miliardów użytkowników na systemach Windows, Mac oraz Linux.
Google łata siódmą w tym roku lukę zero-day wykorzystywaną przez hakerów
Nowo odkryta podatność została oznaczona kodem CVE-2025-13223 i została sklasyfikowana jako błąd o wysokim stopniu ryzyka. Problem techniczny leży w sercu przeglądarki, a konkretnie w silniku V8 JavaScript. To ten element Chrome’a, który odpowiada za przetwarzanie skryptów na stronach internetowych, sprawiając, że są one interaktywne i dynamiczne.
Czytaj też: Grok 4.1 wchodzi do gry. Nowe AI od Elona Muska jest bardziej ludzkie, pyskate i… manipulujące?
Luka polega na tzw. „type confusion” (błąd pomylenia typów). W dużym uproszczeniu, błąd ten występuje, gdy program (w tym przypadku silnik V8) zostaje oszukany co do rodzaju danych, z którymi pracuje. Pozwala to atakującemu na manipulowanie pamięcią programu, co w konsekwencji może prowadzić do wykonania złośliwego kodu na komputerze ofiary po wejściu na spreparowaną stronę internetową.
Czytaj też: Płacisz za chmurę Google? Szykuj się na nowe opłaty za sztuczną inteligencję
Za odkrycie tego zagrożenia odpowiada Clement Lecigne z elitarnej grupy Google Threat Analysis Group (TAG). Warto zwrócić uwagę na ten szczegół – zespół TAG zajmuje się tropieniem najbardziej zaawansowanych, często sponsorowanych przez rządy grup hakerskich, które wykorzystują oprogramowanie szpiegowskie do atakowania dziennikarzy, polityków opozycji czy dysydentów. Choć Google nie podał, kto stoi za atakami, udział TAG sugeruje, że sprawa może mieć podłoże szpiegowskie, choć sama luka zagraża wszystkim użytkownikom.
Google nabiera wody w usta
Mimo że Google potwierdził istnienie exploita i fakt, że jest on wykorzystywany w atakach, firma na razie odmawia podania szczegółów technicznych dotyczących tego, jak dokładnie przebiega atak.
Jest to standardowa procedura w przypadku tak krytycznych błędów. Ujawnienie dokładnej mechaniki działania luki CVE-2025-13223 w momencie, gdy większość świata wciąż korzysta z niezałatanej wersji przeglądarki, byłoby prezentem dla cyberprzestępców. Google zapowiedziało, że dostęp do szczegółów błędu pozostanie ograniczony do momentu, aż „większość użytkowników zaktualizuje swoje oprogramowanie”. Co więcej, jeśli błąd dotyczy biblioteki zewnętrznej, z której korzystają też inne projekty, cisza może potrwać jeszcze dłużej, aby chronić szerszy ekosystem internetowy.
Bieżący rok nie jest łaskawy dla zespołu bezpieczeństwa Chrome
Jak wspomniałam, jest to już siódma luka zero-day załatana w 2025 roku. Poprzednie krytyczne poprawki były wdrażane w marcu, maju, czerwcu, lipcu oraz we wrześniu.
Wcześniejsze incydenty były równie poważne:
- Maj — łatano lukę (CVE-2025-4664), która umożliwiała hakerom przejmowanie kont użytkowników.
- Czerwiec — zespół TAG odkrył inny błąd w silniku V8 (CVE-2025-5419) związany z nieprawidłowym odczytem i zapisem pamięci.
- Marzec — załatano lukę typu sandbox escape (CVE-2025-2783), zgłoszoną przez badaczy z Kaspersky, która była wykorzystywana w kampaniach szpiegowskich wymierzonych w rosyjskie media i instytucje rządowe.
Ta seria zdarzeń przypomina, że przeglądarka internetowa jest najbardziej narażonym na ataki elementem naszego cyfrowego życia, będąc pierwszą linią frontu w kontakcie z niebezpieczną zawartością sieci.
Czytaj też: Pierwszy europejski operator z łącznością satelitarną w zwykłym telefonie. Orange rewolucjonizuje rynek
Zagrożenie jest realne, ale rozwiązanie jest na wyciągnięcie ręki. Google udostępnił już odpowiednie łatki. Aby być bezpiecznym, twoja przeglądarka powinna mieć numer wersji 142.0.7444.175/.176 (dla Windows), 142.0.7444.176 (dla macOS) lub 142.0.7444.175 (dla Linuxa). Chociaż Chrome zazwyczaj aktualizuje się samoczynnie w tle, w przypadku tak krytycznych błędów warto wymusić ten proces ręcznie. Wejdź w menu (trzy kropki w prawym górnym rogu) > Pomoc > O Google Chrome i upewnij się, że proces aktualizacji dobiegł końca, a następnie zrestartuj przeglądarkę przyciskiem „Uruchom ponownie”. To kilka sekund, które mogą uratować twoje dane przed kradzieżą.