Google выпустила экстренное обновление безопасности для Chrome, исправив сразу четыре уязвимости. Критическая из них — CVE‑2025‑10585 — уже эксплуатировалась в реальных атаках. Баг затрагивает JavaScript‑движок V8 и классифицируется как type confusion (ошибка путаницы типов), что потенциально может приводить к выполнению произвольного кода в процессе рендеринга страницы.
Что известно о CVE‑2025‑10585 и почему это важно
По данным Google Threat Analysis Group (TAG), уязвимость относится к классу type confusion — это ситуация, когда движок ошибочно воспринимает один тип объекта за другой, открывая путь к нарушению границ памяти. В браузерах такие дефекты часто позволяют атакам переходить от ошибки в движке JavaScript к удалённому выполнению кода в изолированном процессе вкладки, а затем — при наличии вторичных багов — к выходу из песочницы.
Google подтверждает, что эксплойт для CVE‑2025‑10585 уже наблюдался «в дикой природе». Детали распространения и сценарии эксплуатации компания традиционно не раскрывает до широкого внедрения патчей — это снижает риск проведения копирующих атак другими злоумышленниками.
Какие версии Chrome исправлены и как обновиться
Исправление уже доступно в сборках Chrome 140.0.7339.185/.186 для Windows и macOS и 140.0.7339.185 для Linux. Распространение идёт поэтапно и займет несколько дней или недель, однако пользователям не стоит ждать автоматической волны: проверьте обновления вручную через меню «Справка» → «О браузере Google Chrome» и перезапустите браузер для применения патча.
Для корпоративной среды рекомендуется форсировать установку через средства управления обновлениями, отслеживать соответствие версии целевому билду и минимизировать «окно уязвимости» на критически важных рабочих местах. Хорошей практикой остаётся инвентаризация расширений, включение усиленной защиты Safe Browsing и контроль политик, влияющих на поверхность атаки.
Контекст: тренд на эксплуатацию 0‑day и роль TAG
По данным релизных заметок, CVE‑2025‑10585 — уже шестая 0‑day, закрытая в Chrome в 2025 году. Исследователи TAG регулярно выявляют атаки, приписываемые государственным и квазигосударственным группам, которые используют свежие уязвимости браузеров для точечных шпионских операций. Подобные кампании обычно нацелены на журналистов, диссидентов, ИТ‑поставщиков цепочек поставок и сотрудников стратегических отраслей.
Исторически критические баги в V8 нередко становятся первым звеном цепочки эксплуатации, куда далее добавляются логические ошибки в межпроцессном взаимодействии или уязвимости в драйверах и ОС. Именно поэтому своевременные обновления браузера — один из самых эффективных и недорогих способов резко снизить риски компрометации рабочих станций.
Рекомендации по снижению рисков
Для пользователей
— Немедленно обновите Chrome до версии 140.0.7339.185/186 и перезапустите браузер.
— Проверьте, что автообновления включены, а версия соответствует исправленной сборке.
— Включите усиленную защиту Google Safe Browsing и будьте осторожны с неизвестными ссылками и вложениями.
Для ИБ‑и ИТ‑команд
— Оперативно разверните патч через MDM/WSUS/инструменты управления обновлениями и зафиксируйте SLA внедрения.
— Мониторьте официальные каналы Chrome Releases и Google TAG для дальнейших индикаторов и деталей эксплуатации.
— Пересмотрите политики расширений и загрузки исполняемого контента, примените принцип наименьших привилегий для браузера и плагинов.
— Проведите внеплановую осведомительную рассылку сотрудникам о повышенной осторожности при работе с незнакомыми сайтами.
С учётом подтверждённой эксплуатации уязвимости CVE‑2025‑10585 откладывать обновление нецелесообразно. Чем быстрее патч будет установлен и браузер перезапущен, тем меньше вероятность успешной атаки. Регулярные обновления, базовая гигиена кибербезопасности и контроль корпоративных политик остаются лучшей защитой от эксплойтов нулевого дня в столь критичном для пользователей и организаций программном обеспечении, как веб‑браузер.