Google розповсюдила позапланове оновлення безпеки для браузера Chrome, щоб закрити чергову zero-day уразливість, яка вже активно використовується в реальних кібератаках. Це вже восьма уразливість нульового дня у Chrome з початку 2025 року, що підтверджує системний інтерес зловмисників до популярного браузера як до зручної платформи для компрометації користувачів.
Які версії Google Chrome потрібно терміново оновити
Позаплановий патч безпеки вже доступний для всіх основних настільних платформ. Уразливість виправлена у таких версіях Chrome:
Windows: Chrome 143.0.7499.109
macOS: Chrome 143.0.7499.110
Linux: Chrome 143.0.7499.109
Google зазначає, що оновлення поширюється поетапно, тому не всі користувачі бачать нову версію одночасно. Проте в умовах активної експлуатації відкладати встановлення оновлення вкрай небезпечно. Для браузера, який часто є першою точкою входу в корпоративну або домашню мережу, затримка навіть у кілька днів може дати зловмисникам вікно можливостей.
Анонімна zero-day без CVE: що означає статус «under coordination»
Незвична деталь інциденту — відсутність публічного CVE-ідентифікатора. Замість цього Google тимчасово відстежує проблему за внутрішнім номером 466192044 і позначає її як «under coordination».
Такий статус свідчить, що компанія узгоджує розкриття деталей з іншими вендорами або партнерами по безпеці. Інакше кажучи, технічна інформація свідомо обмежена, щоб не спростити створення нових експлойтів для тих груп, які ще не володіють робочим ланцюжком атаки.
Поки що не розголошується, хто саме виявив баг, скільки часу він був відомий та які компоненти спочатку вважалися вразливими. Офіційно підтверджено лише те, що критичність уразливості — висока, а її експлуатація може призвести до порушення конфіденційності та цілісності даних користувача.
Технічні деталі: LibANGLE, Metal та переповнення буфера
За інформацією з баг-трекера Chromium, проблема походить з бібліотеки LibANGLE — це проміжний шар, який перетворює виклики OpenGL ES у виклики інших графічних API, зокрема Direct3D, Vulkan і Metal. Завдяки LibANGLE Chrome забезпечує кросплатформену графіку на різних операційних системах.
У звітах згадується переповнення буфера в рендерері Metal, що виникає через некоректну обробку розмірів буфера. Типові наслідки таких помилок керування пам’яттю включають:
– пошкодження пам’яті (memory corruption);
– можливість витоку чутливих даних з процесу браузера;
– виконання довільного коду у контексті процесу рендерингу.
Для браузера це особливо небезпечно: експлойт переповнення буфера може стати першим кроком у ланцюжку атак для обходу пісочниці (sandbox escape) і подальшого отримання доступу до операційної системи.
Типові класи атак: type confusion та use-after-free
Фахівці з інформаційної безпеки припускають, що поточна zero-day уразливість за методами експлуатації близька до класів type confusion та use-after-free, які регулярно виявляють у JavaScript-движку V8 та графічних підсистемах Chromium.
На практиці успішні атаки на браузери на зразок Chrome часто комбінують кілька помилок керування пам’яттю для досягнення таких цілей:
– віддалене виконання коду в процесі рендера;
– підвищення привілеїв і вихід за межі пісочниці;
– встановлення шпигунського ПЗ або викрадення аутентифікаційних токенів, cookie та паролів.
Поки Google обмежує деталі, щоб не допомагати додатковим зловмисникам, цілком імовірно, що відомі офензивні групи вже адаптують свої інструменти під нову уразливість, орієнтуючись на загальновідомі патерни атак на браузерну пам’ять.
Восьмий zero-day у Chrome у 2025 році: що показує статистика
З початку 2025 року Google уже виправила в Chrome сім уразливостей нульового дня; нинішня проблема стала восьмою. Для порівняння, за весь 2024 рік було закрито 10 zero-day експлойтів у браузері.
Частина цих уразливостей демонструвалася на змаганнях з етичного зламу, таких як Pwn2Own, інші ж фіксувалися безпосередньо під час реальних таргетованих атак на урядові структури, великі компанії та високопрофільних користувачів. Така динаміка підтверджує тенденцію: сучасні браузери залишаються одним із головних векторів атак через свою популярність, складну архітектуру та доступ до конфіденційних облікових даних.
Рекомендації: як захистити користувачів і бізнес від експлойтів у Chrome
Поки розширені технічні деталі не оприлюднені, найефективніший крок захисту — негайно оновити Google Chrome до останньої версії на всіх робочих станціях, серверах термінального доступу та адміністративних машинах.
Рекомендовані заходи для користувачів і організацій:
– увімкнути автоматичні оновлення Chrome та періодично перевіряти номер версії;
– використовувати централізоване керування оновленнями (GPO, MDM, системи управління парком) у доменній інфраструктурі;
– обмежити встановлення розширень до перевірених джерел і схваленого переліку у політиках безпеки;
– сегментувати робочі місця з підвищеним ризиком (адміністратори, фінанси, юридичні служби) та застосовувати до них посилені політики доступу;
– регулярно проводити навчання співробітників з протидії фішингу та соціальній інженерії, оскільки саме браузер найчастіше є точкою старту таких атак.
Часта поява zero-day уразливостей у браузерах — не привід для паніки, а нагадування, що інформаційна безпека — це безперервний процес. Регулярне оновлення програмного забезпечення, уважне налаштування браузера, ізоляція критичних систем і використання багаторівневого захисту дозволяють суттєво знизити ризик успішної атаки, навіть коли зловмисники тимчасово випереджають розробників.
