Компания Google выпустила критическое обновление безопасности для браузера Chrome, устранив шесть серьезных уязвимостей. Особую тревогу вызывает CVE-2025-6558 с оценкой 8,8 баллов по шкале CVSS, которая уже активно эксплуатируется злоумышленниками для обхода защитных механизмов браузера.
Детальный анализ уязвимости CVE-2025-6558
Уязвимость была обнаружена исследователями Google Threat Analysis Group (TAG) Клеманом Лециньем и Владом Столяровым. Проблема заключается в недостаточной проверке недоверенного ввода в критически важных компонентах ANGLE и GPU браузера Chrome версий до 138.0.7204.157.
Согласно описанию в базе данных NIST NVD, данная уязвимость позволяет удаленному злоумышленнику осуществить побег из песочницы браузера посредством специально подготовленной HTML-страницы. Это означает, что простое посещение вредоносного веб-сайта может предоставить атакующим доступ к базовой операционной системе.
Роль компонента ANGLE в архитектуре Chrome
ANGLE (Almost Native Graphics Layer Engine) представляет собой открытый графический движок, выполняющий функцию промежуточного слоя между системой рендеринга Chrome и аппаратными графическими драйверами. Его основная задача — преобразование вызовов OpenGL ES API в соответствующие команды для Direct3D, Metal, Vulkan и OpenGL.
Критическая важность ANGLE обусловлена тем, что этот компонент обрабатывает команды для GPU из потенциально недоверенных источников, включая WebGL-контент с различных веб-сайтов. Уязвимости в данном модуле создают прямой путь для атак, направленных на обход изоляции браузера через низкоуровневые GPU-операции.
Специфика атак и потенциальные угрозы
Google не раскрывает подробности о том, как именно эксплуатировалась уязвимость CVE-2025-6558, ограничиваясь подтверждением существования работающего эксплоита. Однако принадлежность открывших уязвимость исследователей к команде TAG дает важные подсказки о характере угрозы.
Google Threat Analysis Group специализируется на защите от государственных хакерских группировок и продвинутых постоянных угроз (APT). Команда TAG регулярно обнаруживает zero-day эксплоиты, используемые для целевых атак против политиков, журналистов, правозащитников и диссидентов.
Дополнительные уязвимости в обновлении
Помимо критической CVE-2025-6558, обновление Chrome устраняет еще пять значимых уязвимостей безопасности:
CVE-2025-7656 — серьезная проблема в JavaScript-движке V8, которая может позволить выполнение произвольного кода через специально сформированный JavaScript.
CVE-2025-7657 — уязвимость типа use-after-free в компоненте WebRTC, отвечающем за веб-коммуникации в реальном времени.
Пользователям Chrome до версии 138.0.7204.157: обновитесь немедленно
Учитывая активную эксплуатацию CVE-2025-6558 и высокий уровень угрозы, пользователям Chrome настоятельно рекомендуется немедленно обновиться до версии 138.0.7204.157 или 138.0.7204.158 в зависимости от операционной системы.
Для проверки версии Chrome откройте chrome://settings/help — браузер автоматически проверит и установит доступные обновления. Версии 138.0.7204.157 и 138.0.7204.158 закрывают CVE-2025-6558 и все пять сопутствующих уязвимостей, включая CVE-2025-7656 в движке V8.
