Grupa Analizy Zagrożeń Google (TAG) dnia 16 września 2025 wykryła podatność typu zero day. Luka ta, wykorzystuje wektor ataku znany jako „type confusion” w silniku V8. W dużym uproszczeniu błąd ten powoduje, że przeglądarka myli jeden typ danych z drugim, co pozwala atakującemu na wykonanie dowolnego kodu. Google potwierdziło, że podatność została wykorzystana w cyberatakach przeciwko użytkownikom przeglądarek opartych na Chromium i wydało poprawkę już następnego dnia – 17 września.
Skala problemu jest niepokojąca. To już szósta luka zero-day w Chrome w 2025 roku, która była aktywnie wykorzystywana. Pokazuje to rosnącą presję na ekosystem i skuteczność atakujących w znajdowaniu nowych wektorów eksploatacji. Obnaża to także problem monopolu wśród silników najpopularniejszych przeglądarek. Chromium napędza około 70% wszystkich przeglądarek internetowych, co oznacza, że pojedyncza luka może dotknąć miliony użytkowników na całym świecie. Safari z silnikiem WebKit (15% udziału w rynku) oraz Firefox z silnikiem Gecko (2,3% udziału) pozostają głównymi alternatywami dla dominacji Google, jednak ich łączny udział pokazuje skalę koncentracji ryzyka w jednym kodzie źródłowym.
Zero Day – gdy czas gra przeciwko nam
Zero day to podatność w oprogramowaniu lub sprzęcie, nieznana na dany dzień jego producentowi i użytkownikom. Termin „zero day” określa, że ofiary mają zero dni na reakcję przed pierwszym atakiem. Ataki bazujące na lukach zero-day należą do najbardziej niebezpiecznych, ponieważ są przeprowadzane, zanim luka stanie się publicznie znana lub zanim zostanie opracowana łatka czy obejście.
Ekosystem Chromium – błogosławieństwo czy przekleństwo?
Google Chrome a Chromium
Chromium to otwartoźródłowy projekt przeglądarki internetowej prowadzony przez Google, który stanowi fundament dla wielu komercyjnych przeglądarek. Google Chrome bazuje na Chromium, ale dodaje elementy takie jak integracja z usługami Google, automatyczne aktualizacje i zaawansowane funkcje synchronizacji.
Na tej samej podstawie działają również Microsoft Edge (po 2020 roku), Opera, Brave, Vivaldi, Samsung Internet i dziesiątki innych przeglądarek. Każdy producent dodaje własne funkcjonalności – Edge integruje się z Microsoft 365, Brave blokuje reklamy domyślnie, a Opera oferuje wbudowany VPN.
Zalety rozwiązania Chromium
Wspólny rdzeń w postaci Chromium przynosi korzyści dla całego systemu webowego. Deweloperzy stron internetowych mogą skupić się na optymalizacji pod jeden główny silnik (Blink), co znacznie upraszcza proces tworzenia i testowania aplikacji webowych.
Chromium zapewnia stabilną platformę z nowoczesnym API webowym, szybkimi aktualizacjami zabezpieczeń i zaawansowanymi funkcjami jak Site Isolation czy Process Sandboxing. To pozwala mniejszym firmom tworzyć konkurencyjne przeglądarki bez konieczności inwestowania milionów dolarów w rozwój własnego silnika renderującego.
Zagrożenie monokulturowe
Dominacja pojedynczego rozwiązania niesie jednak poważne ryzyko systemowe. Z udziałem sięgającym 70% rynku globalnego, pojedyncza krytyczna luka w Chromium może narazić na atak ponad 3,9 miliarda użytkowników.
Dodatkowo, Google jako firma utrzymująca projekt ma de facto kontrolę nad kierunkiem rozwoju technologii webowych. Decyzje o implementacji nowych API, standardach bezpieczeństwa czy wycofywaniu starszych funkcji wpływają na cały internet, co budzi obawy o nadmierną koncentrację władzy w rękach jednej korporacji.
Jak chronić się przed atakami z przeglądarki? 5 skutecznych sposobów
- Włącz automatyczne aktualizacje przeglądarki
Najpewniejszym sposobem obrony przed atakami wykorzystującymi niezałatane luki jest instalowanie poprawek natychmiast po ich udostępnieniu. Upewnij się, że przeglądarka automatycznie pobiera i instaluje aktualizacje – dopóki patch nie zostanie zainstalowany, pozostajesz narażony na atak.
- Blokuj nieznane skrypty i reklamy
Zainstaluj rozszerzenia typu uBlock Origin, NoScript lub podobne rozwiązania do kontroli wykonywania skryptów. Te wtyczki pozwalają blokować podejrzane skrypty, reklamy i inne elementy strony, które mogą służyć jako nośnik zagrożenia.
- Utrzymuj aktualne oprogramowanie zabezpieczające
Wybierz renomowany program antywirusowy lub zestaw Endpoint Security z funkcjami Exploit Prevention (HIPS) i real-time script monitoring. Tego typu ochrona potrafi wykryć i zablokować nietypowe zachowania skryptów w przeglądarce, zanim dojdzie do załadowania złośliwego kodu.
- Przestrzegaj zasad bezpiecznego przeglądania
Unikaj otwierania linków i załączników z nieznanych źródeł. Zawsze zweryfikuj, czy adres URL zaczyna się od „https://” i sprawdź certyfikat witryny. Ostrożność przy przeglądaniu internetu skraca listę potencjalnych wektorów ataku.
Wprowadź dwuskładnikowe uwierzytelnianie (2FA) dla kont online. W razie sukcesu złośliwego oprogramowania, dodatkowa warstwa uwierzytelnienia może zapobiec przejęciu Twoich danych i kont.
Podsumowanie
Przeglądarki internetowe są bardzo częstym wektorem ataku, z uwagi na to, jak wiele informacji jest za ich pomocą przesyłanych. Całkowite zapobiegnięcie podatnościom jest niemożliwe. Ważne jest, aby zabezpieczyć się przed potencjalnym zagrożeniem, zanim się pojawi.
Jeśli chciałbyś podnieść bezpieczeństwo Twojej firmy w cyberświecie, ale nie wiesz od czego zacząć, skontaktuj się z nami. Odpowiemy na Twoje pytania, pomożemy wybrać najlepsze rozwiązania odpowiadające na potrzeby Twojej organizacji.
Dawid Młynarski - Specjalista IT
