Google выпустила экстренное обновление безопасности для браузера Chrome, устраняющее критическую уязвимость нулевого дня CVE-2025-13223 с оценкой 8,8 по шкале CVSS. Дыра уже активно эксплуатировалась в реальных атаках и стала седьмой 0-day уязвимостью в Chrome в 2025 году, обнаруженной «в бою», а не в лабораторных условиях.
Критическая уязвимость CVE-2025-13223 в Chrome: что произошло
По данным Национальной базы данных уязвимостей NIST (NVD), проблема связана с ошибкой типа type confusion в JavaScript-движке V8 и подсистеме WebAssembly. Уязвимость присутствовала во всех версиях до Chrome 142.0.7444.175 и могла быть использована удаленным злоумышленником через специально подготовленную HTML-страницу.
Type confusion приводит к неправильной интерпретации объектов в памяти. В случае CVE-2025-13223 это позволяло атакующему спровоцировать повреждение кучи (heap corruption), что открывает путь к выполнению произвольного кода в контексте браузера или, как минимум, к вызову сбоев и отказу в обслуживании.
Как работает type confusion в V8 и почему это любимая цель атакующих
Движок V8 отвечает за выполнение JavaScript-кода и активно оптимизирует его «на лету». При сложных оптимизациях и множестве типов объектов ошибки класса type confusion встречаются относительно часто: движок начинает считать, что объект относится к одному типу, тогда как в памяти он представлен другим.
Для злоумышленника это означает возможность получить доступ к данным за пределами допустимых границ, изменять содержимое памяти или формировать примитивы для построения полноценного эксплойта. В сочетании с другими уязвимостями (например, обход песочницы или повышение привилегий в ОС) такие баги нередко используются в сложных целевых атаках против компаний и государственных структур.
Google TAG: кто обнаружил уязвимость и кого обычно атакуют
Об уязвимости сообщил Клемент Лесинь (Clement Lecigne) из подразделения Google Threat Analysis Group (TAG). Эта команда специализируется на мониторинге и анализе атак, проводимых хакерскими группами, связанными с государственными структурами разных стран.
По опубликованной информации, CVE-2025-13223 уже использовалась в реальных операциях. Традиционно Google отмечает, что подобные 0-day эксплойты часто применяются в шпионских кампаниях против журналистов, оппозиционных политиков, правозащитников и диссидентов. Однако конкретные детали текущих атак, в том числе география и используемая цепочка эксплойтов, пока не раскрываются — это делается для защиты пользователей и партнеров до массового обновления браузера.
Какие версии Google Chrome защищены и как обновиться
Исправление уязвимости CVE-2025-13223 включено в следующие версии браузера:
Windows: Chrome 142.0.7444.175 и 142.0.7444.176
macOS: Chrome 142.0.7444.176
Linux: Chrome 142.0.7444.175
Chrome по умолчанию обновляется автоматически, но в условиях эксплуатации 0-day уязвимости рекомендуется вручную проверить версию. Для этого откройте: Меню → Справка → О браузере Google Chrome — и дождитесь завершения проверки и установки обновлений.
Организациям с большим парком рабочих станций стоит использовать централизованное управление обновлениями (GPO, MDM, системы управления патчами), чтобы сократить «окно уязвимости» и обеспечить оперативное распространение критических патчей.
Седьмая 0-day уязвимость Chrome в 2025 году: тревожный, но ожидаемый тренд
По данным Google, CVE-2025-13223 — уже седьмая уязвимость нулевого дня в Chrome в 2025 году, подтвержденно эксплуатируемая в атаках. Для сравнения, за весь 2024 год в браузере было закрыто 10 подобных проблем. Часть из них демонстрировалась в рамках соревнований по взлому браузеров, таких как Pwn2Own, а часть — выявлялась непосредственно в ходе расследования реальных инцидентов.
Такая динамика подчеркивает две тенденции: с одной стороны, браузеры остаются одним из ключевых векторов атак для кибершпионских и криминальных группировок; с другой — усиливается работа по быстрому обнаружению и закрытию 0-day уязвимостей как со стороны вендоров, так и со стороны исследовательского сообщества.
Для конечных пользователей и компаний практический вывод остается неизменным: скорость установки обновлений критически важна. Даже самая сложная уязвимость теряет ценность для атакующих сразу после того, как патч оказывается установлен на большинстве устройств.
На фоне очередной уязвимости нулевого дня в Chrome имеет смысл пересмотреть базовые практики безопасности: включить автоматические обновления браузеров и ОС, ограничить использование устаревших версий, регулярно проводить инвентаризацию ПО и обучать сотрудников распознаванию подозрительных ссылок и сайтов. Чем меньше времени проходит между выходом патча и его установкой, тем ниже вероятность того, что ваша организация окажется в числе целей для эксплойтов наподобие CVE-2025-13223.
