Google закрыла 0‑day в Chrome: CVE‑2025‑10585 в V8 уже использовалась в атаках

CyberSecureFox 🦊

Google выпустила экстренное обновление безопасности для Chrome, исправив сразу четыре уязвимости. Критическая из них — CVE‑2025‑10585 — уже эксплуатировалась в реальных атаках. Баг затрагивает JavaScript‑движок V8 и классифицируется как type confusion (ошибка путаницы типов), что потенциально может приводить к выполнению произвольного кода в процессе рендеринга страницы.

Что известно о CVE‑2025‑10585 и почему это важно

По данным Google Threat Analysis Group (TAG), уязвимость относится к классу type confusion — это ситуация, когда движок ошибочно воспринимает один тип объекта за другой, открывая путь к нарушению границ памяти. В браузерах такие дефекты часто позволяют атакам переходить от ошибки в движке JavaScript к удалённому выполнению кода в изолированном процессе вкладки, а затем — при наличии вторичных багов — к выходу из песочницы.

Google подтверждает, что эксплойт для CVE‑2025‑10585 уже наблюдался «в дикой природе». Детали распространения и сценарии эксплуатации компания традиционно не раскрывает до широкого внедрения патчей — это снижает риск проведения копирующих атак другими злоумышленниками.

Какие версии Chrome исправлены и как обновиться

Исправление уже доступно в сборках Chrome 140.0.7339.185/.186 для Windows и macOS и 140.0.7339.185 для Linux. Распространение идёт поэтапно и займет несколько дней или недель, однако пользователям не стоит ждать автоматической волны: проверьте обновления вручную через меню «Справка» → «О браузере Google Chrome» и перезапустите браузер для применения патча.

Для корпоративной среды рекомендуется форсировать установку через средства управления обновлениями, отслеживать соответствие версии целевому билду и минимизировать «окно уязвимости» на критически важных рабочих местах. Хорошей практикой остаётся инвентаризация расширений, включение усиленной защиты Safe Browsing и контроль политик, влияющих на поверхность атаки.

Контекст: тренд на эксплуатацию 0‑day и роль TAG

По данным релизных заметок, CVE‑2025‑10585 — уже шестая 0‑day, закрытая в Chrome в 2025 году. Исследователи TAG регулярно выявляют атаки, приписываемые государственным и квазигосударственным группам, которые используют свежие уязвимости браузеров для точечных шпионских операций. Подобные кампании обычно нацелены на журналистов, диссидентов, ИТ‑поставщиков цепочек поставок и сотрудников стратегических отраслей.

Исторически критические баги в V8 нередко становятся первым звеном цепочки эксплуатации, куда далее добавляются логические ошибки в межпроцессном взаимодействии или уязвимости в драйверах и ОС. Именно поэтому своевременные обновления браузера — один из самых эффективных и недорогих способов резко снизить риски компрометации рабочих станций.

Рекомендации по снижению рисков

Для пользователей

— Немедленно обновите Chrome до версии 140.0.7339.185/186 и перезапустите браузер.
— Проверьте, что автообновления включены, а версия соответствует исправленной сборке.
— Включите усиленную защиту Google Safe Browsing и будьте осторожны с неизвестными ссылками и вложениями.

Для ИБ‑и ИТ‑команд

— Оперативно разверните патч через MDM/WSUS/инструменты управления обновлениями и зафиксируйте SLA внедрения.
— Мониторьте официальные каналы Chrome Releases и Google TAG для дальнейших индикаторов и деталей эксплуатации.
— Пересмотрите политики расширений и загрузки исполняемого контента, примените принцип наименьших привилегий для браузера и плагинов.
— Проведите внеплановую осведомительную рассылку сотрудникам о повышенной осторожности при работе с незнакомыми сайтами.

С учётом подтверждённой эксплуатации уязвимости CVE‑2025‑10585 откладывать обновление нецелесообразно. Чем быстрее патч будет установлен и браузер перезапущен, тем меньше вероятность успешной атаки. Регулярные обновления, базовая гигиена кибербезопасности и контроль корпоративных политик остаются лучшей защитой от эксплойтов нулевого дня в столь критичном для пользователей и организаций программном обеспечении, как веб‑браузер.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.