Google випустила позапланове оновлення безпеки для браузера Chrome після виявлення та підтвердженої експлуатації критичної уразливості нульового дня CVE-2025-13223 з оцінкою 8,8 за CVSS. Це вже сьома 0‑day уразливість Chrome у 2025 році, яку зловмисники застосовують у реальних атаках, а не тільки в лабораторних умовах.
Уразливість CVE-2025-13223 у Google Chrome: суть проблеми
Згідно з даними Національної бази даних уразливостей NIST NVD, CVE-2025-13223 пов’язана з помилкою типу type confusion у JavaScript-рушії V8 та підсистемі WebAssembly. Уразливість присутня у всіх збірках до Chrome 142.0.7444.175 і може бути використана віддаленим зловмисником через спеціально підготовлену HTML-сторінку.
Уразливості класу type confusion виникають, коли рушій хибно інтерпретує тип об’єкта в пам’яті. У випадку CVE-2025-13223 це дозволяє атакуючому спричинити пошкодження купи (heap corruption). Наслідком може стати виконання довільного коду в контексті браузера або, як мінімум, стабільні збої й відмова в обслуговуванні (DoS).
Як працює type confusion у V8 та WebAssembly і чому це популярна ціль
Движок V8, який використовується в Google Chrome, виконує JavaScript та WebAssembly з агресивною JIT‑оптимізацією (just-in-time). Для підвищення швидкодії він робить припущення щодо типів об’єктів і структури даних. Якщо в певних сценаріях ці припущення виявляються хибними, виникає type confusion — рушій обробляє об’єкт наче він одного типу, хоча в пам’яті він має інший формат.
Для зловмисника це відкриває можливість читати або змінювати дані за межами дозволених областей пам’яті, створювати примітиви для подальшого розвитку атаки та будувати повноцінний експлойт виконання коду. У поєднанні з іншими вразливостями (наприклад, обхід sandbox браузера або підвищення привілеїв в операційній системі) такі помилки стають елементом складних цільових атак на компанії, державні установи й критичну інфраструктуру.
Google TAG і цільові атаки з використанням CVE-2025-13223
Про уразливість повідомив Клемент Лесінь (Clement Lecigne) з підрозділу Google Threat Analysis Group (TAG). Ця команда спеціалізується на відстеженні операцій хакерських груп, пов’язаних із державними структурами різних країн, та аналізі складних шкідливих кампаній.
Google підтвердила, що CVE-2025-13223 вже активно експлуатується у реальних операціях. З попереднього досвіду TAG подібні 0-day експлойти часто використовують у шпигунських кампаніях проти журналістів, опозиційних політиків, правозахисників і громадських активістів. Деталі поточних інцидентів, зокрема географію атак та повну експлойт-ланку, поки що свідомо не розкривають, аби дати користувачам час встановити оновлення безпеки.
Які версії Google Chrome захищені та як перевірити оновлення
Патч, що усуває CVE-2025-13223, включено до таких версій Chrome:
Windows: Chrome 142.0.7444.175 і 142.0.7444.176
macOS: Chrome 142.0.7444.176
Linux: Chrome 142.0.7444.175
Браузер Chrome за замовчуванням оновлюється автоматично, однак у ситуації з активно експлуатованою 0‑day уразливістю рекомендується особисто перевірити версію. Для цього відкрийте: Меню → Довідка → Про браузер Google Chrome і дочекайтесь завершення перевірки та встановлення оновлень. Якщо потрібен перезапуск браузера, виконайте його негайно.
Організаціям із великим парком робочих станцій варто застосовувати централізоване управління оновленнями через GPO, MDM чи системи керування патчами. Це скорочує «вікно уразливості» та забезпечує оперативне розгортання критичних оновлень безпеки на всіх робочих місцях.
Сьома 0-day уразливість Chrome у 2025 році: важливий сигнал для кіберзахисту
За даними Google, CVE-2025-13223 — це вже сьома підтверджена 0-day уразливість у Chrome у 2025 році. Для порівняння, протягом усього 2024 року в браузері було виявлено та виправлено 10 уразливостей нульового дня. Частину з них демонстрували в рамках змагань на кшталт Pwn2Own, інші виявлялися під час розслідування реальних інцидентів.
Ця динаміка підкреслює дві тенденції: з одного боку, браузери залишаються одним із ключових векторів атак для державних і кримінальних угруповань; з іншого — посилюється робота з боку вендорів і дослідницької спільноти щодо швидкого виявлення та закриття 0-day уразливостей, що зменшує життєвий цикл таких експлойтів.
Практичні рекомендації для користувачів і компаній
Щоб знизити ризики атак через уразливості нульового дня в Chrome, доцільно впровадити такі практики:
— Увімкнути та не вимикати автоматичні оновлення браузера й операційної системи.
— Заборонити використання застарілих версій браузерів політиками безпеки та технічними засобами контролю.
— Проводити регулярну інвентаризацію програмного забезпечення і перевіряти, які версії браузерів розгорнуті в мережі.
— Навчати співробітників розпізнавати фішингові листи, підозрілі посилання та шахрайські вебсайти, через які можуть доставлятись експлойти.
— Застосовувати принцип найменших привілеїв для користувачів і служб, щоб обмежити наслідки потенційного компрометування браузера.
На тлі нової критичної 0-day уразливості в Google Chrome ключовим фактором захисту стає швидкість встановлення оновлень. Чим менше часу проходить між виходом патча та його впровадженням на робочих станціях, тим менші шанси, що саме ваша організація або персональні пристрої стануть жертвою експлойтів на кшталт CVE-2025-13223. Перевірте версію свого браузера вже зараз, оновіть усі критичні системи та перегляньте внутрішні процедури керування патчами, щоб бути готовими до наступних хвиль 0-day атак.
