Компанія Google екстрено випустила оновлення безпеки для браузера Chrome, що усуває шість серйозних вразливостей. Найбільшу увагу привертає CVE-2025-6558 з рейтингом 8,8 балів за шкалою CVSS, яка вже активно використовується зловмисниками для компрометації систем користувачів.
Технічна характеристика уразливості CVE-2025-6558
Вразливість виявлена дослідниками Google Threat Analysis Group (TAG) Клеманом Лециньєм та Владом Столяровим. Проблема полягає в неналежній валідації недовіреного вводу в критичних компонентах ANGLE та GPU браузера Chrome версій до 138.0.7204.157.
За даними NIST NVD, ця вразливість дозволяє віддаленому зловмиснику здійснити втечу з піщаниці (sandbox escape) браузера через спеціально підготовлену HTML-сторінку. Це означає, що простий перегляд шкідливого веб-ресурсу може надати атакуючим доступ до операційної системи.
Роль компонента ANGLE в архітектурі безпеки Chrome
ANGLE (Almost Native Graphics Layer Engine) являє собою відкритий графічний рушій, що функціонує як проміжний шар між системою рендерингу Chrome та апаратними графічними драйверами. Його основне призначення – перетворення викликів OpenGL ES API у відповідні команди для Direct3D, Metal, Vulkan та OpenGL.
Критична важливість ANGLE обумовлена тим, що цей компонент обробляє команди для GPU з потенційно недовірених джерел, включаючи WebGL-контент з різних веб-сайтів. Вразливості в цьому модулі створюють прямий шлях для атак, спрямованих на обхід ізоляції браузера через низькорівневі GPU-операції.
Особливості атак та потенційні загрози
Google не розкриває деталей про те, як саме експлуатувалася вразливість CVE-2025-6558, обмежуючись підтвердженням існування робочого експлоїта. Однак належність дослідників, що виявили вразливість, до команди TAG дає важливі підказки про характер загрози.
Google Threat Analysis Group спеціалізується на захисті від державних хакерських угруповань та розвинених постійних загроз (APT). Команда TAG регулярно виявляє zero-day експлоїти, що використовуються для цільових атак проти політиків, журналістів, правозахисників та дисидентів.
Супутні вразливості в оновленні
Окрім критичної CVE-2025-6558, оновлення Chrome усуває ще п’ять значущих вразливостей безпеки:
CVE-2025-7656 – серйозна проблема в JavaScript-рушії V8, яка може дозволити виконання довільного коду через спеціально сформований JavaScript.
CVE-2025-7657 – вразливість типу use-after-free в компоненті WebRTC, відповідальному за веб-комунікації в реальному часі.
Практичні рекомендації щодо захисту
Враховуючи активну експлуатацію CVE-2025-6558 та високий рівень загрози, користувачам Chrome настійно рекомендується негайно оновитися до версії 138.0.7204.157 або 138.0.7204.158 залежно від операційної системи.
Цей інцидент підкреслює критичну важливість своєчасного оновлення браузерів та демонструє, як сучасні веб-технології можуть ставати векторами для складних атак. Регулярне оновлення програмного забезпечення залишається одним з найефективніших способів захисту від експлуатації відомих вразливостей, особливо коли йдеться про компоненти, що обробляють недовірений контент з інтернету.
