Новости компьютерной безопасности:

  Latest News

Chrome Security Patch Addresses WebAudio Vulnerability Allowing Code Execution

С сайта: Vulnerability(cybersecuritynews.com)

Chrome Security Patch Addresses WebAudio Vulnerability Allowing Code Execution

Author: Kaaviya

Google has released a critical security update for Chrome, addressing a vulnerability that could allow attackers to execute malicious code through the browser’s WebAudio component. 

According to an announcement published on Tuesday, May 6, 2025, the stable channel has been updated to version 136.0.7103.92/.93 forWindows and Mac systemsand 136.0.7103.92 for Linux platforms.

Use-After-Free in WebAudio
The primary security fix addresses CVE-2025-4372, a Use-After-Free (UAF) vulnerability in Chrome’s WebAudio API.This flaw potentially enables remote attackers to exploit heap corruption through specially designed HTML pages.

Huang Xilin of Ant Group Light-Year Security Lab discovered and reported the vulnerability on April 20, 2025, earning a $7,000 bounty as part of Google’s vulnerability rewards program.

“Use-after-free is a memory corruption vulnerability that occurs when a program continues to use memory after it has been freed,” explains security researcher Michael Wilson, who contributed to the fix. 

“In this case, the MediaStreamAudioDestinationNode wasn’t properly managed, allowing potential attackers to manipulate freed memory addresses to execute arbitrary code.”

Though Google officially categorized the vulnerability as “Medium” severity, several security vendors, including Tenable, have rated it as “Critical” with a CVSS base score of 9.8, indicating the potential for significant exploitation. 

The vulnerability has received an exceptionally high rating because it requires no user privileges and minimal user interaction to exploit.

Risk Factors Details Affected ProductsGoogle Chrome versions prior to 136.0.7103.92ImpactRemote attackers can exploit heap corruption to execute malicious codeExploit PrerequisitesUser interaction (visiting a malicious webpage with crafted HTML)CVSS 3.1 ScoreMedium
The fix involved making MediaStreamAudioDestinationNode an ActiveScriptWrappable component, preventing the premature destruction of audio nodes while active scripts still use them.

This implementation addresses the root cause of the memory corruption vulnerability.

This isn’t the first time Chrome’s WebAudio component has been targeted. Similar vulnerabilities, including CVE-2023-6345 and CVE-2024-0224, were discovered in previous versions, highlighting the consistent security challenges posed by complex audio processing in web browsers.

Google’s security team emphasized that many of their security bugs are detected using specialized tools, including AddressSanitizer (ASan), MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer, and AFL.

AddressSanitizer is particularly effective at identifying memory errors like use-after-free conditions, though it can make applications 2-4 times slower during testing.

The update includes various security improvements from internal audits, fuzzing, and other initiatives, in addition to the WebAudio vulnerability fix.

The update will roll out automatically to users over the coming days and weeks. However, security experts recommend manually updating immediately by navigating to Chrome’s settings (chrome://settings/help) to check for and install the latest version.



#Chrome #Cyber_Security #Cyber_Security_News #Security_Updates #Vulnerability

Оригинальная версия на сайте: Chrome Security Patch Addresses WebAudio Vulnerability Allowing Code Execution
Вернуться к списку новостей К свежим новостям Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.

Вернуться к списку новостей Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.


Новости проекта CSN:

✉ CSN.net4me.net

Обновление сайта csn.net4me.net

Обновление сайта csn.net4me.net 💻
cyber security news
  • Физически мы переехали на новый сервер. Благодарим наших подписчиков и постоянных читателей за терпение и понимание.
  • Сайт csn.net4me.net полностью адаптирован для работы по шифрованному SSL соединению.
  • Изменен механизм обработки и отображения опасных и критических уязвимостей.

Благодарим что вы с нами.


#CSN_обновление_сайта
https://csn.net4me.net/cyber_security_8301.html

Дополнительный материал

О проекте CSN

Проект CSN.net4me.net родился 16 Марта 2018 года.
Проект находится в самом начале своего развития. Конечно оформление, наполнение будет меняться. Одно останется неизменным - самые свежие новости компьютерной и сетевой безопасности.

О проекте net4me

Проект net4me.net развивался как сборник готовых решений и документации по темам компьютерной безопасности, сетевых решений и СПО (в часности linux). Темпы развития IT отрасли оказались столь быстрыми, что некоторые знания, технологии и информация о них устаревали мгновенно. Тем не менее, некоторый материал net4me.net до сих пор востребован.

Об источниках

Новости берутся CSN из открытых и доступных каждому источников. Авторы проекта стараются подбирать авторитетные и проверенные источники. Но, тем не менее, не несут ответственности за содержимое новостей. В каждой новости указывается источник этой новости, её автор и ссылка на оригинал новости.

Информация

Если вы желаете чтобы новости вашего ресурса были размещены на сайте CSN, то свяжитесь с авторами проекта csn@net4me.net и предложите ссылку на rss или xml ленту новостей вашего ресурса. Любая предложенная информация будет рассмотрена редакцией.