V
Scaner-VS
ENRU
HomeCatalogSourcesCWECAPECATT&CKMitigationsDocs
Back to catalog
CVE-2025-13992
ANC
Medium

This update upgrades chromium to version 139.0.7258.138-alt0.p11.1. Security Fix(es): * BDU:2025-09421: Уязвимость интерфейса MediaStream б…

CVSS
4.7
Medium
EPSS
0.00
p6
Published
2025-01-01
Updated
2025-01-01
Description

This update upgrades chromium to version 139.0.7258.138-alt0.p11.1. Security Fix(es): * BDU:2025-09421: Уязвимость интерфейса MediaStream браузеров Google Chrome и Microsoft Edge, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании * BDU:2025-09454: Уязвимость браузера Google Chrome, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю реализовать спуфинг-атаку или вызвать отказ в обслуживании * BDU:2025-09455: Уязвимость элемента управления Разрешения (Permissions) браузера Google Chrome, позволяющая нарушителю выполнить подмену пользовательского интерфейса * BDU:2025-09456: Уязвимость компонента Extensions (Расширения) браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации * BDU:2025-09463: Уязвимость компонента Cast (Трансляция) браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации * BDU:2025-09475: Уязвимость интерфейса chrome.fileSystem браузера Google Chrome, позволяющая нарушителю выполнить подмену пользовательского интерфейса * BDU:2025-09932: Уязвимость браузера Google Chrome, связанная с ошибками реализации проверки безопасности для стандартных элементов, позволяющая нарушителю получить доступ к конфиденциальной информации * BDU:2025-09933: Уязвимость браузера Google Chrome, связанная с использованием памяти после её освобождения, позволяющая нарушителю получить доступ к конфиденциальной информации * BDU:2025-09934: Уязвимость браузера Google Chrome, связанная с ошибками реализации проверки безопасности для стандартных элементов, позволяющая нарушителю получить доступ к конфиденциальной информации * BDU:2025-10156: Уязвимость обработчика JavaScript-сценариев V8 браузера Google Chrome, позволяющая нарушителю выполнить произвольный код * BDU:2025-10157: Уязвимость функции free компонента Aura браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации * BDU:2025-10158: Уязвимость компонента File Picker браузера Google Chrome, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации * BDU:2025-10159: Уязвимость библиотеки libaom браузера Google Chrome, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации * BDU:2025-10160: Уязвимость библиотеки ANGLE браузера Google Chrome, позволяющая нарушителю выполнить произвольный код * BDU:2025-11093: Уязвимость обработчика JavaScript-сценариев V8 браузеров Google Chrome, позволяющая нарушителю выполнить произвольный код * BDU:2026-00271: Уязвимость браузера Google Chrome, связанная с некорректной защитой физических сторонних каналов, позволяющая нарушителю обойти существующие ограничения безопасности * CVE-2025-13992: Side-channel information leakage in Navigation and Loading in Google Chrome prior to 139.0.7258.66 allowed a remote attacker to bypass site isolation via a crafted HTML page. (Chromium security severity: Medium) * CVE-2025-8292: Use after free in Media Stream in Google Chrome prior to 138.0.7204.183 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) * CVE-2025-8576: Use after free in Extensions in Google Chrome prior to 139.0.7258.66 allowed a remote attacker to potentially exploit heap corruption via a crafted Chrome Extension. (Chromium security severity: Medium) * CVE-2025-8577: Inappropriate implementation in Picture In Picture in Google Chrome prior to 139.0.7258.66 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Medium) * CVE-2025-8578: Use after free in Cast in Google Chrome prior to 139.0.7258.66 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Medium) * CVE-2025-8579: Inappropriate implementation in Picture In Picture in Google Chrome prior to 139.0.7258.66 allowed a remote attacker who convinced a user to engage in specific UI gestures to perform UI spoofing via a crafted HTML page. (Chromium security severity: Low) * CVE-2025-8580: Inappropriate implementation in Filesystems in Google Chrome prior to 139.0.7258.66 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Low) * CVE-2025-8581: Inappropriate implementation in Extensions in Google Chrome prior to 139.0.7258.66 allowed a remote attacker who convinced a user to engage in specific UI gestures to leak cross-origin data via a crafted HTML page. (Chromium security severity: Low) * CVE-2025-8582: Insufficient validation of untrusted input in Core in Google Chrome prior to 139.0.7258.66 allowed a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. (Chromium security severity: Low) * CVE-2025-8583: Inappropriate implementation in Permissions in Google Chrome prior to 139.0.7258.66 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Low) * CVE-2025-8879: Heap buffer overflow in libaom in Google Chrome prior to 139.0.7258.127 allowed a remote attacker to potentially exploit heap corruption via a curated set of gestures. (Chromium security severity: High) * CVE-2025-8880: Race in V8 in Google Chrome prior to 139.0.7258.127 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. (Chromium security severity: High) * CVE-2025-8881: Inappropriate implementation in File Picker in Google Chrome prior to 139.0.7258.127 allowed a remote attacker who convinced a user to engage in specific UI gestures to leak cross-origin data via a crafted HTML page. (Chromium security severity: Medium) * CVE-2025-8882: Use after free in Aura in Google Chrome prior to 139.0.7258.127 allowed a remote attacker who convinced a user to engage in specific UI gestures to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Medium) * CVE-2025-8901: Out of bounds write in ANGLE in Google Chrome prior to 139.0.7258.127 allowed a remote attacker to perform out of bounds memory access via a crafted HTML page. (Chromium security severity: High) * CVE-2025-9132: Out of bounds write in V8 in Google Chrome prior to 139.0.7258.138 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High)

Tags · CWE
Pre-auth
CWE-1300
CAPEC-189
CAPEC-699
Affected products
ChromiumChromiumChromiumChromiumChromiumChromium-browserChromium-browserChromium-browserChromium-browserChrome
CVSS vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N
Timeline
2025-01-01
Published
2025-01-01
Updated
CVSS 3.1 breakdown
Attack Vector
AV: N
Network (N)
Attack Complexity
AC: L
Low (L)
Privileges Required
PR: N
None (N)
User Interaction
UI: R
Required (R)
Scope
S: C
Changed (C)
Confidentiality Impact
C: L
Low (L)
Integrity Impact
I: N
None (N)
Availability Impact
A: N
None (N)
Exploit indicators
EPSS
0.000 · p6
Known exploited (KEV)
No
Known exploits — Сканер-ВС
No Сканер-ВС checks registered for this vulnerability yet.
Affected software
ProductVendorStatus
Tracked
chromiumTracked
chromiumTracked
chromiumTracked
chromiumTracked
chromiumTracked
chromium-browserTracked
chromium-browserTracked
chromium-browserTracked
chromium-browserTracked
chrome*Tracked
Source databases
ANC
AST
DEB
CVE
RED
UBU
Related vulnerabilities
BDU:2026-00271
External references
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop.html@https://issues.chromium.org/issues/40095391https://errata.altlinux.org/ALT-PU-2025-10850@https://bdu.fstec.ru/vul/2025-09421@https://bdu.fstec.ru/vul/2025-09454@https://bdu.fstec.ru/vul/2025-09455@https://bdu.fstec.ru/vul/2025-09456@https://bdu.fstec.ru/vul/2025-09463@https://bdu.fstec.ru/vul/2025-09475@https://bdu.fstec.ru/vul/2025-09932@https://bdu.fstec.ru/vul/2025-09933@https://bdu.fstec.ru/vul/2025-09934@https://bdu.fstec.ru/vul/2025-10156@https://bdu.fstec.ru/vul/2025-10157@https://bdu.fstec.ru/vul/2025-10158@https://bdu.fstec.ru/vul/2025-10159@https://bdu.fstec.ru/vul/2025-10160@https://bdu.fstec.ru/vul/2025-11093@https://bdu.fstec.ru/vul/2026-00271@https://nvd.nist.gov/vuln/detail/CVE-2025-13992@https://nvd.nist.gov/vuln/detail/CVE-2025-8292@https://nvd.nist.gov/vuln/detail/CVE-2025-8576@https://nvd.nist.gov/vuln/detail/CVE-2025-8577@https://nvd.nist.gov/vuln/detail/CVE-2025-8578@https://nvd.nist.gov/vuln/detail/CVE-2025-8579@https://nvd.nist.gov/vuln/detail/CVE-2025-8580@https://nvd.nist.gov/vuln/detail/CVE-2025-8581@https://nvd.nist.gov/vuln/detail/CVE-2025-8582@https://nvd.nist.gov/vuln/detail/CVE-2025-8583@https://nvd.nist.gov/vuln/detail/CVE-2025-8879@https://nvd.nist.gov/vuln/detail/CVE-2025-8880@https://nvd.nist.gov/vuln/detail/CVE-2025-8881@https://nvd.nist.gov/vuln/detail/CVE-2025-8882@https://nvd.nist.gov/vuln/detail/CVE-2025-8901@https://nvd.nist.gov/vuln/detail/CVE-2025-9132