Добавить в корзинуПозвонить
Найти в Дзене
Securitylab.ru
17,9 тыс подписчиков

Один визит — и компьютер заражён. Google экстренно латает дыры в Chrome

76
1 мин
Google выпустила экстренное обновление для Chrome, устраняющее критическую уязвимость CVE-2025-9478 в библиотеке ANGLE. Ошибка типа use-after-free, обнаруженная 11 августа командой Google Big Sleep, позволяет атакующему выполнить произвольный код через специально подготовленные WebGL- или Canvas-операции. Достаточно посещения вредоносной страницы, чтобы браузер переписал память и запустил чужой код с правами текущего пользователя. Такой сценарий открывает дорогу к установке вредоносного ПО, краже данных и дальнейшему проникновению в корпоративные сети, что особенно опасно для компаний и ценных целей. Обновления доступны в Chrome Stable 139.0.7258.154/.155 для Windows и macOS, а также 139.0.7258.154 для Linux. Распространение происходит автоматически, но Google настоятельно рекомендует ускорить установку. Администраторам корпоративных систем предлагаются MSI-пакеты и Enterprise Bundle для развёртывания в средах с жёстким управлением изменениями. Проблема кроется в компоненте ANGLE, кото

Google выпустила экстренное обновление для Chrome, устраняющее критическую уязвимость CVE-2025-9478 в библиотеке ANGLE. Ошибка типа use-after-free, обнаруженная 11 августа командой Google Big Sleep, позволяет атакующему выполнить произвольный код через специально подготовленные WebGL- или Canvas-операции. Достаточно посещения вредоносной страницы, чтобы браузер переписал память и запустил чужой код с правами текущего пользователя. Такой сценарий открывает дорогу к установке вредоносного ПО, краже данных и дальнейшему проникновению в корпоративные сети, что особенно опасно для компаний и ценных целей.

Обновления доступны в Chrome Stable 139.0.7258.154/.155 для Windows и macOS, а также 139.0.7258.154 для Linux. Распространение происходит автоматически, но Google настоятельно рекомендует ускорить установку. Администраторам корпоративных систем предлагаются MSI-пакеты и Enterprise Bundle для развёртывания в средах с жёстким управлением изменениями.

Проблема кроется в компоненте ANGLE, который транслирует вызовы OpenGL ES в нативные графические API. Из-за ошибки освобождённая память может быть использована повторно, а злоумышленник способен подменить её содержимое. При успешной атаке выполняется произвольный код, что превращает уязвимость в удобный инструмент для drive-by атак: достаточно одного визита на заражённый сайт. Потенциальные последствия включают внедрение шпионских программ, шифровальщиков и других инструментов для закрепления в инфраструктуре жертвы.

Google советует администраторам не откладывать обновления и дополнительно отслеживать прокси- и endpoint-логи на предмет аномалий, связанных с WebGL и графическими API. Также рекомендуется жёстко соблюдать принцип минимальных привилегий и предупреждать пользователей об опасности переходов по неизвестным ссылкам, особенно содержащим интерактивный графический контент.

Подробности эксплуатации CVE-2025-9478 пока не раскрываются, чтобы дать время большинству пользователей обновиться. Компания подчёркивает важность внешних сообщений об ошибках и продолжает выплачивать вознаграждения за найденные баги, укрепляя сотрудничество между исследователями и разработчиками в защите открытых проектов.

1