Google выпустила срочное обновление для Chrome, закрыв три уязвимости, одна из которых уже активно эксплуатируется. Наиболее критичной признана уязвимость CVE-2025-5419 (CVSS: 8.8), связанная с ошибкой в обработке памяти движком V8, который отвечает за выполнение JavaScript и WebAssembly. Согласно данным NVD, атакующий может спровоцировать повреждение кучи через специально созданную HTML-страницу, что приводит к чтению и записи за пределами разрешённых областей памяти. Это создаёт риск выполнения произвольного кода на устройстве пользователя.
Уязвимость была обнаружена 27 мая 2025 года экспертами Google Threat Analysis Group (TAG), а уже 28 мая исправление добавили в стабильную версию Chrome для всех платформ. Как обычно, детали атаки не раскрываются, чтобы предотвратить массовое использование эксплойта до установки обновления. Однако Google подтвердила, что уязвимость CVE-2025-5419 уже применяется в реальных атаках.
Это вторая zero-day-уязвимость в 2025 году, которую Google устраняет из-за активной эксплуатации. Первой была CVE-2025-2783, закрытая после обнаружения её в хакерских атаках специалистами "Лаборатории Касперского". Обе представляют серьёзную угрозу, позволяя злоумышленникам незаметно проникать в системы через веб-страницы.
Рекомендации для пользователей:
- Обновить Chrome до версий 137.0.7151.68/.69 (Windows/macOS) или 137.0.7151.68 (Linux).
- Установить последние версии других браузеров на базе Chromium: Microsoft Edge, Brave, Opera, Vivaldi.
- Разработчикам следует как можно быстрее внедрить обновлённые компоненты в свои проекты.