Google julkaisi kiireellisen päivityksen Chromeen paikaten neljä haavoittuvuutta. Yksi niistä, CVE-2025-10585, on jo aktiivisesti hyväksikäytetty nollapäivä V8 JavaScript/WebAssembly -moottorissa. Yritys vahvistaa, että haavoittuvuudelle on olemassa toimiva exploit “in the wild”. Suojautuaksesi päivitä Chrome versioon 140.0.7339.185/.186 (Windows/macOS) tai 140.0.7339.185 (Linux). Päivitys rullaa ulos parhaillaan. (The Hacker News)
Mikä haavoittuvuus?
- CVE-2025-10585: Type confusion V8-moottorissa → voi johtaa mielivaltaisen koodin suorittamiseen sivun kautta (RCE) ja selaimen kaatumiseen. Haavoittuvuuden raportoi Google Threat Analysis Group (TAG) 16.9.2025. (The Hacker News)
Mitä Google sanoo?
- Google kertoo tietävänsä aktiivisesta hyväksikäytöstä ja rajoittaa lisädetaljeja, kunnes enemmistö käyttäjistä on päivittänyt – vakiokäytäntö, ettei hyökkääjille anneta etumatkaa. (Chrome Releases)
Vaikutuspiiri
- Kaikki Chrome-käyttäjät (Windows, macOS, Linux).
- Muut Chromium-pohjaiset selaimet (Edge, Brave, Opera, Vivaldi) tarvitsevat myös vastaavat korjaukset, kun valmistaja ne julkaisee. (The Hacker News)
Versiot, joihin päivität nyt
- Chrome (Stable): 140.0.7339.185/.186 (Win/macOS) ja 140.0.7339.185 (Linux). (Chrome Releases)
Nopea suojausohje (käyttäjille)
- Avaa Chrome → Valikko (⋮) → Ohje → Tietoja Google Chromesta.
- Odota, että päivitys latautuu → Käynnistä uudelleen.
- Vahvista, että versio on 140.0.7339.185/.186 (Win/macOS) tai .185 (Linux). (Chrome Releases)
Suositus organisaatioille (IT/SecOps)
- Pakota päivitys hallintatyökalulla (GPO/Intune/Chrome Browser Cloud Management).
- Auditoi selaimen versiot: blokkaa vanhat buildit proxy-/ESM-tasolla, jos mahdollista.
- Valvo exploit-yrityksiä: seuraa selaimen crash- ja sandbox-telemetriaa sekä EDR-hälyjä, jotka liittyvät selaimen prosesseihin.
- Hardenna: poista tarpeettomat laajennukset, eristä korkeaa riskiä sisältävät sivustot (AppContainer/RendererAppContainer, Site Isolation), ja ota käyttöön tiukat SmartScreen/Network Protection -politiikat.
Muita vuoden 2025 Chrome-nollapäiviä
CVE-2025-10585 on jo kuudes tänä vuonna aktiivisesti hyödynnetty tai PoC:lla vahvistettu Chrome-nollapäivä (aiemmin mm. CVE-2025-2783, -4664, -5419, -6554, -6558). Tahti on kova – selaimen ajantasaisuus on kriittinen perushygienia. (The Hacker News)
Miksi tämä on iso juttu?
V8 on Chromen sydän JavaScriptille ja WebAssemblylle. Type confusion voi sekoittaa muistissa olevien objektien “odotetun tyypin” → syntyy reitti muistin korruptioon ja koodin suorittamiseen hyökkääjän valitsemalla tavalla. Verkkosivun avaaminen voi silloin riittää, jos exploit-ketju osuu. Päivitys on käytännössä ainoa kestävä vastalääke. (The Hacker News)
TL;DR: Päivitä Chrome nyt versioon 140.0.7339.185/.186 ja kierrätä sama viesti koko organisaatiossa. Exploit on jo liikkeellä. Lähteet: The Hacker Newsin kooste sekä Googlen virallinen julkaisutiedote. (The Hacker News)