Поделиться
Хакеры активно используют дыру в движке Google Chrome
Срочные обновления выпущены для двух уязвимостей в Google Chrome, одна из которых уже активно использовалась киберзлоумышленниками. Это седьмая уязвимость нулевого дня в Chrome с начала года.
С пометкой «срочно»
Google выпустил внеплановые обновления безопасности для своего браузера Chrome, призванные устранить две уязвимости, из которых как минимум одна активно эксплуатируется киберзлоумышленниками.
Речь идёт о CVE-2025-13223 (оценка по шкале CVSS: 8,8 баллов из 10) - ошибке разновидности type confusion. Как выяснилось, браузерный движок V8, который отвечает за обработку JavaScript и WebAssembly, может принимать один тип данных за другой. Вследствие этого у злоумышленников появлялась возможность вызывать повреждение кучи (программный термин) и добиваться выполнения произвольного кода в контексте браузера. Для этого требовалось создать специальную HTML-страницу и заманить на неё пользователя.
«8,8 балла CVSS - это де-факто критический уровень, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Учитывая распространённость Chrome, а также тот факт, что на базе Chromium построены и несколько других браузеров, масштабы проблемы трудно переоценить. Патч уже доступен, и если есть возможность установить его прямо сейчас, лучше так и поступить».
«Баг» присутствовал во всех версиях V8 до 142.0.7444.175.
Проблему обнаружил эксперт Google Threat Analysis Group Клеман Лесинь (Clément Lecigne).
Без лишних подробностей
Google ограничился пока что лишь констатацией, что уязвимость уже подвергалась атакам и что эксплойт уже существует. Никаких подробностей о том, кто стоит за атаками, на кого они могли быть направлены или каков масштаб подобных усилий, в компании не привели.
С начала года это уже седьмая уязвимость, которая либо подвергалась эксплуатации ещё до выхода обновлений со стороны вендора, либо к которой выходили демонстрационные эксплойты (опять же, до выхода патчей).
Что касается второй уязвимости, то она относится к тому же типу, что и первая, и отслеживается как CVE-2025-13224. Её обнаружила собственная автоматизированная система Google под названием Big Sleep.
Безопасные версии - 142.0.7444.175/176 для Windows, 142.0.7444.176 для Mac и 142.0.7444.175 для Linux.
Также планируются обновления для других браузеров на основе Chromium, в числе которых - Edge, Brave, Opera и Vivaldi. Пока что их следует рассматривать как потенциально уязвимые и проявлять осторожность при посещении случайных страниц.
Короткая ссылка
