Компания Google выпустила критическое обновление безопасности для браузера Chrome, устранив шесть серьезных уязвимостей. Особую тревогу вызывает CVE-2025-6558 с оценкой 8,8 баллов по шкале CVSS, которая уже активно эксплуатируется злоумышленниками для обхода защитных механизмов браузера.
Детальный анализ уязвимости CVE-2025-6558
Уязвимость была обнаружена исследователями Google Threat Analysis Group (TAG) Клеманом Лециньем и Владом Столяровым. Проблема заключается в недостаточной проверке недоверенного ввода в критически важных компонентах ANGLE и GPU браузера Chrome версий до 138.0.7204.157.
Согласно описанию в базе данных NIST NVD, данная уязвимость позволяет удаленному злоумышленнику осуществить побег из песочницы браузера посредством специально подготовленной HTML-страницы. Это означает, что простое посещение вредоносного веб-сайта может предоставить атакующим доступ к базовой операционной системе.
Роль компонента ANGLE в архитектуре Chrome
ANGLE (Almost Native Graphics Layer Engine) представляет собой открытый графический движок, выполняющий функцию промежуточного слоя между системой рендеринга Chrome и аппаратными графическими драйверами. Его основная задача — преобразование вызовов OpenGL ES API в соответствующие команды для Direct3D, Metal, Vulkan и OpenGL.
Критическая важность ANGLE обусловлена тем, что этот компонент обрабатывает команды для GPU из потенциально недоверенных источников, включая WebGL-контент с различных веб-сайтов. Уязвимости в данном модуле создают прямой путь для атак, направленных на обход изоляции браузера через низкоуровневые GPU-операции.
Специфика атак и потенциальные угрозы
Google не раскрывает подробности о том, как именно эксплуатировалась уязвимость CVE-2025-6558, ограничиваясь подтверждением существования работающего эксплоита. Однако принадлежность открывших уязвимость исследователей к команде TAG дает важные подсказки о характере угрозы.
Google Threat Analysis Group специализируется на защите от государственных хакерских группировок и продвинутых постоянных угроз (APT). Команда TAG регулярно обнаруживает zero-day эксплоиты, используемые для целевых атак против политиков, журналистов, правозащитников и диссидентов.
Дополнительные уязвимости в обновлении
Помимо критической CVE-2025-6558, обновление Chrome устраняет еще пять значимых уязвимостей безопасности:
CVE-2025-7656 — серьезная проблема в JavaScript-движке V8, которая может позволить выполнение произвольного кода через специально сформированный JavaScript.
CVE-2025-7657 — уязвимость типа use-after-free в компоненте WebRTC, отвечающем за веб-коммуникации в реальном времени.
Рекомендации по обеспечению безопасности
Учитывая активную эксплуатацию CVE-2025-6558 и высокий уровень угрозы, пользователям Chrome настоятельно рекомендуется немедленно обновиться до версии 138.0.7204.157 или 138.0.7204.158 в зависимости от операционной системы.
Данный инцидент подчеркивает критическую важность своевременного обновления браузеров и демонстрирует, как современные веб-технологии, такие как WebGL, могут становиться векторами для сложных атак. Регулярное обновление программного обеспечения остается одним из наиболее эффективных способов защиты от эксплуатации известных уязвимостей, особенно когда речь идет о компонентах, обрабатывающих недоверенный контент из интернета.
