Google экстренно залатала уязвимость нулевого дня в Chrome — она уже эксплуатировалась

Google выпустила срочное обновление для Chrome, закрывающее опасную уязвимость нулевого дня, которую злоумышленники уже используют в реальных атаках. Проблеме присвоен идентификатор CVE-2025-6554, и компания подтвердила: эксплойты для неё циркулируют в сети прямо сейчас.

Что за уязвимость

Брешь высокой степени опасности относится к типу «type confusion» (путаница типов) и находится в V8 — движке JavaScript и WebAssembly, который лежит в основе Chrome. Такие ошибки особенно опасны: они позволяют злоумышленникам манипулировать выделением памяти и в итоге приводят к повреждению памяти. Итог — возможность выполнить произвольный код с теми же правами, что и у самого браузера. На практике это открывает путь к компрометации системы, краже данных или установке вредоносного ПО, причём достаточно, чтобы жертва просто открыла вредоносный сайт или скомпрометированное веб-приложение.

Уязвимость обнаружил и сообщил о ней Клеман Лесинь (Clément Lecigne) — исследователь из Threat Analysis Group, специального подразделения Google по анализу угроз. Находка внутренняя, что говорит о продолжающейся серьёзной работе службы безопасности компании над мониторингом собственных продуктов.

Хронология реагирования

  • 25 июня 2025 года — Лесинь сообщил об уязвимости Google.
  • 26 июня 2025 года — компания оперативно выкатила временное смягчение (mitigation) через конфигурационное изменение для всех пользователей стабильного канала на всех платформах. Однако эта мера — лишь заглушка, а не полноценное закрытие дыры.
  • 1 июля 2025 года — вышел полноценный патч в составе стабильного релиза.

Google прямо подтвердила, что эксплойты под CVE-2025-6554 уже используются в реальных атаках, из-за чего обновление особенно срочное.

До какой версии нужно обновиться

Исправленные версии Chrome:

  • Windows — 138.0.7204.96/.97;
  • macOS — 138.0.7204.92/.93;
  • Linux — 138.0.7204.96.

Раскатка идёт постепенно, в течение ближайших дней и недель, чтобы не создавать нагрузку на инфраструктуру Google и сохранить стабильность у миллионов пользователей.

Что делать

Проверить версию браузера и обновиться можно через меню «Настройки → О браузере Chrome» — это автоматически запустит проверку обновлений, скачает патч и установит его; останется только перезапустить браузер.

Отдельно Google отмечает: только применённое 26 июня временное смягчение не защищает полностью — нужен именно финальный патч. Организациям, использующим Chrome в корпоративной среде, стоит в приоритетном порядке раскатить обновление по всей сети: сочетание подтверждённой активной эксплуатации и высокой степени критичности делает эту задачу неотложной.

Для поиска подобных уязвимостей до выхода в продакшн Google применяет собственный набор инструментов — AddressSanitizer, MemorySanitizer и libFuzzer, — но, как показывает этот случай, даже развитая защита не исключает появления 0-day, которые находят и эксплуатируют раньше публичного раскрытия.

Источник: Cybersecurity News.