Google устранила критическую уязвимость в браузере Chrome, которая активно использовалась злоумышленниками. Уязвимость, известная как CVE-2025-6554, связана с путаницей типов в движке Chrome V8 JavaScript и WebAssembly. Она позволяла злоумышленникам выполнять произвольные операции чтения и записи, заманивая пользователей на специально созданные веб-страницы. Google подтвердила, что уязвимость уже эксплуатировалась в реальных условиях.
Обнаружение уязвимости
Об этой ошибке сообщил Клеман Лесинь из группы анализа угроз Google (TAG) 25 июня. Команда TAG известна раскрытием сложных атак, связанных с государственными субъектами. Согласно Национальной базе данных уязвимостей (NVD), уязвимость затрагивает версии Chrome до 138.0.7204.96 и может позволить злоумышленникам выполнить произвольный код или вызвать сбой программ.
Действия Google
На следующий день, 26 июня, Google развернула изменение конфигурации в стабильной версии на всех платформах, снизив риск для пользователей Windows (версии 138.0.7204.96/.97), macOS (138.0.7204.92/.93) и Linux (138.0.7204.96).
Уязвимость путаницы типов
Ошибки путаницы типов могут иметь серьезные последствия для безопасности. Когда программа неправильно предполагает тип объекта, злоумышленники могут манипулировать программным обеспечением, чтобы получить доступ к памяти за пределами границ. Это открывает двери для выполнения произвольного кода, попутных загрузок, установки шпионского ПО и тихой утечки данных.
Возможные цели атаки
Участие TAG предполагает, что эксплойт мог быть частью целевых кампаний против известных лиц, таких как журналисты, диссиденты или политические оппоненты. Однако Google не раскрыла технические подробности или не подтвердила, кто был целью, сославшись на защиту пользователей и продолжающееся исправление в качестве причин сокрытия информации.
Рекомендации по обновлению
Хотя большинство пользователей получат исправление автоматически, обновления можно запустить вручную, перейдя в «Настройки» > «Справка» > «О Google Chrome». Организации, управляющие несколькими конечными точками, должны обеспечить соответствие исправлениям и активировать автоматические обновления браузера для поддержания оптимальной безопасности.
Уязвимость других браузеров
Другие браузеры на базе Chromium, включая Microsoft Edge, Brave, Opera и Vivaldi, также потенциально подвержены уязвимости и должны быть обновлены после выпуска исправлений.
С CVE-2025-6554 Google уже устранила четыре уязвимости нулевого дня в этом году. Эти ранние уязвимости включали побеги из песочницы и уязвимости памяти за пределами границ, одна из которых была связана со шпионскими кампаниями, нацеленными на российские учреждения.
Дополнительная информация:
Coinbase пострадала от утечки данных, подверглась вымогательству (но не заплатила)
"Почему Kubernetes стал неотъемлемой частью современных IT-решений"
Samsung исправляет уязвимость сервера MagicInfo 9, которой воспользовались злоумышленники
Фальшивые атаки: почему они опаснее, чем кажутся
Как работают более 300 000 жёстких дисков в реальных условиях
МЕТА ТЕГИ: Google Chrome, уязвимость безопасности, CVE-2025-6554, Google V8, JavaScript, WebAssembly, уязвимость нулевого дня, Google Threat Team, Клеман Лесинь, Национальная база данных уязвимостей, NVD, произвольный код, путаница типов, шпионское ПО, утечка данных, обновление браузера, Chromium, Microsoft Edge, Brave, Opera, Vivaldi, песочница, шпионские кампании.