Chrome снова под ударом: Google устраняет четвертую уязвимость нулевого дня в 2025 году

Google выпустила экстренное обновление безопасности для Chrome в понедельник, чтобы устранить уязвимость нулевого дня, активно эксплуатируемую и затрагивающую пользователей Windows и Mac по всему миру. Это четвертая уязвимость нулевого дня в Chrome, исправленная с начала 2025 года.

Уязвимость нулевого дня, отслеживаемая как CVE-2025-6554, была описана как уязвимость с высокой степенью серьезности, связанная с “путаницей типов” в движке JavaScript и WebAssembly V8 Chrome.

Клемент Лесин, исследователь безопасности из Группы анализа угроз (TAG) Google, который сообщил о уязвимости нулевого дня 25 июня 2025 года, был признан за ее обнаружение и сообщение. TAG известна раскрытием сложных атак, связанных с государственными актерами.

Что за уязвимость?

Ошибки путаницы типов в V8, JavaScript-движке Chrome, возникают, когда браузер путает тип обрабатываемых данных. Это может привести к неправильной интерпретации памяти Chrome, открывая дверь для произвольного чтения/записи и, в некоторых случаях, полного удаленного выполнения кода (RCE).

Эта ошибка может позволить хакерам получить доступ к частям памяти, к которым они не должны иметь доступ, что может позволить им запускать вредоносный код или крашить браузер.

“Google осведомлена о том, что эксплойт для CVE-2025-6554 существует в дикой природе,” - заявила технологическая компания в выпущенном в понедельник уведомлении о безопасности.

Согласно Национальной базе уязвимостей (NVD), этот недостаток затрагивает версии Chrome ранее 138.0.7204.96 и может позволить злоумышленникам запускать вредоносный код или вызывать сбой приложения.

Меры по смягчению последствий

Google развернула временные меры по смягчению последствий на стороне сервера 26 июня 2025 года через стабильный канал Chrome для исправления уязвимости нулевого дня. Компания выпустила полное исправление для пользователей Chrome в стабильном канале для настольных ПК: Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) и пользователей Linux (138.0.7204.96).

“Доступ к деталям ошибки и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновится с исправлением. Мы также сохраним ограничения, если ошибка существует в библиотеке третьей стороны, от которой зависят другие проекты, но которые еще не исправлены,” - заявила Google.

Google еще не раскрыла детали о эксплуатации или угрозах, стоящих за атаками. Поскольку недостаток активно эксплуатируется в дикой природе, настоятельно рекомендуется, чтобы пользователи применили патч безопасности как можно скорее, чтобы защитить свои устройства и себя от значительных рисков безопасности.

Хотя автообновление Chrome в конечном итоге установит исправление, вы также можете вручную обновить Chrome, перейдя в Настройки > Справка > О Google Chrome.

Почему это четвертая?

** Ранее исправленные уязвимости нулевого дня в Chrome в 2025 году включают CVE20252783 (март): Неправильная обработка, предоставленная в неопределенных обстоятельствах в Mojo на Windows; CVE20254664 (май): Недостаточное соблюдение политики в Загрузчике; и CVE20255419 (июнь): Чтение и запись вне границ в V8.

С учетом того, что CVE20256554 теперь исправлена, это отмечает четвертую активную уязвимость нулевого дня, решенную всего за семь месяцев.