Riepilogo
Entrambe le vulnerabilità ad alta gravità risiedono in Google Chrome e possono essere sfruttate tramite una pagina HTML appositamente creata.
CVE-2025-5063 è una vulnerabilità di tipo "Use after free" che si trova nel sottosistema di compositing del browser. Una gestione impropria della memoria durante il rendering degli elementi sovrapposti della pagina può portare a un potenziale dirottamento del flusso di controllo durante le manipolazioni del DOM.
CVE-2025-5280 è una vulnerabilità di tipo “out of bounds” nel motore JavaScript V8, che potrebbe permettere l’esecuzione di codice arbitrario al di fuori del sandbox JavaScript, consentendone l’esecuzione nativa sul sistema target.

Integrity360 manterrà un elevato livello di attenzione su eventuali alert che potrebbero indicare lo sfruttamento di queste vulnerabilità per i clienti MDR (Managed Detection and Response) esistenti.
Se non sei un cliente di Integrity360, clicca sul pulsante "Sotto attacco?" presente su questo sito. Siamo qui per aiutarti.

Dettagli tecnici:
CVE-2025-5063

  • Descrizione: Use after free nel compositing di Google Chrome prima della versione 137.0.7151.55. Ha consentito a un attaccante remoto di potenzialmente sfruttare la corruzione dell'heap tramite una pagina HTML appositamente creata. (Gravità secondo Chromium: Alta)

  • Punteggio CVSS v3 Base: 8.8

  • Gravità: Alta

CVE-2025-5280

  • Descrizione: Scrittura out of bounds nel motore V8 di Google Chrome prima della versione 137.0.7151.55. Ha consentito a un attaccante remoto di potenzialmente sfruttare la corruzione dell'heap tramite una pagina HTML appositamente creata. (Gravità secondo Chromium: Alta)

  • Punteggio CVSS v3 Base: 8.8

  • Gravità: Alta

Azioni consigliate
Chrome dovrebbe essere aggiornato alle seguenti versioni stabili per essere protetti dalle vulnerabilità sopra menzionate:
• 137.0.7151.55 per Linux
• 137.0.7151.55/56 per Windows e Mac

Riferimenti:
https://chromereleases.googleblog.com/2025/05/stable-channel-update-for-desktop_27.html
https://www.securityweek.com/chrome-137-firefox-139-patch-high-severity-vulnerabilities/

Se sei preoccupato per una qualsiasi delle minacce descritte in questo bollettino o hai bisogno di aiuto per capire quali misure adottare per proteggere la tua organizzazione dalle minacce più rilevanti, contatta il tuo account manager oppure mettiti in contatto con noi per scoprire come possiamo aiutarti.