Корпорация Google выпустила критические обновления безопасности для браузера Chrome, направленные на устранение серьезной уязвимости нулевого дня CVE-2025-6554. Данная брешь в безопасности уже активно эксплуатируется злоумышленниками в реальных кибератаках, что делает немедленное обновление браузера критически важным для всех пользователей.
Технические характеристики уязвимости CVE-2025-6554
Обнаруженная уязвимость классифицируется как type confusion в JavaScript-движке V8, который является основой для выполнения веб-приложений в Chrome. Этот тип уязвимости позволяет злоумышленникам обходить механизмы защиты памяти браузера, что может привести к выполнению произвольного кода на устройстве жертвы.
Исправления были развернуты для всех основных платформ: Windows (версии 138.0.7204.96/.97), macOS (138.0.7204.92/.93) и Linux (138.0.7204.96). Процесс автоматического обновления может занять от нескольких дней до недель, в зависимости от настроек пользователя и региона.
Обнаружение угрозы специалистами Google TAG
Уязвимость была выявлена экспертом Google Threat Analysis Group (TAG) Клеманом Лецинем. TAG представляет собой элитное подразделение Google, специализирующееся на защите от атак государственного уровня и продвинутых постоянных угроз (APT). Команда регулярно обнаруживает эксплоиты нулевого дня, используемые для целевых атак на высокопоставленных лиц, журналистов и активистов.
Факт обнаружения уязвимости именно специалистами TAG указывает на высокую вероятность использования данного эксплоита в государственных кибероперациях или атаках со стороны продвинутых хакерских группировок.
Механизм эксплуатации и потенциальные последствия
Уязвимости типа type confusion в V8 обычно приводят к аварийному завершению работы браузера при успешной эксплуатации через чтение или запись данных за пределами выделенного буфера памяти. Однако наиболее опасным аспектом является возможность выполнения произвольного кода, что открывает злоумышленникам широкие возможности для компрометации системы.
Потенциальные последствия эксплуатации включают:
• Установку вредоносного программного обеспечения без ведома пользователя
• Кражу конфиденциальных данных и паролей
• Получение удаленного доступа к компьютеру жертвы
• Использование зараженной системы для дальнейших атак
Статистика уязвимостей Chrome в 2025 году
CVE-2025-6554 стала уже четвертой эксплуатируемой уязвимостью нулевого дня в Chrome, исправленной с начала 2025 года. Это свидетельствует о растущей активности киберпреступников и необходимости постоянного мониторинга безопасности веб-браузеров.
Согласно политике ответственного раскрытия информации, Google ограничивает доступ к техническим деталям уязвимости до тех пор, пока большинство пользователей не получат обновления безопасности. Это стандартная практика, направленная на предотвращение широкомасштабной эксплуатации уязвимости.
Рекомендации по защите
Для обеспечения максимальной безопасности пользователям рекомендуется немедленно обновить браузер Chrome до последней версии. Проверить наличие обновлений можно через меню браузера: Настройки → О браузере Chrome. Система автоматически загрузит и установит доступные обновления безопасности.
Дополнительно рекомендуется включить автоматические обновления и регулярно проверять версию браузера. Учитывая серьезность угрозы и активное использование уязвимости в атаках, промедление с обновлением может привести к компрометации системы и потере важных данных. Своевременное применение патчей безопасности остается одним из наиболее эффективных способов защиты от современных киберугроз.