CVE-2025-0444

Nome do Software Vulnerável e Versões Afetadas Google Chrome versões anteriores à 133.0.6943.53 Microsoft Edge (versões afetadas não especificadas)

Descrição O problema está relacionado a um use-after-free no Skia, permitindo que um atacante remoto potencialmente explore corrupção de heap via uma página HTML especialmente criada. Os detalhes técnicos incluem acesso concorrente a SkFontationsScalerContext, o que pode levar a uma condição de corrida e use-after-free. A função generateYScalePathForGlyphId() pode ser chamada a partir de um COLRv1 SkDrawable.

Recomendações Para versões do Google Chrome anteriores à 133.0.6943.53, atualize para a versão 133.0.6943.53 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, considere restringir o acesso a componentes potencialmente vulneráveis até que um patch esteja disponível.