Google выпустила срочное обновление для Chrome, закрывающее опасную уязвимость нулевого дня, которую злоумышленники уже используют в реальных атаках. Проблеме присвоен идентификатор CVE-2025-6554, и компания подтвердила: эксплойты для неё циркулируют в сети прямо сейчас.
Что за уязвимость
Брешь высокой степени опасности относится к типу «type confusion» (путаница типов) и находится в V8 — движке JavaScript и WebAssembly, который лежит в основе Chrome. Такие ошибки особенно опасны: они позволяют злоумышленникам манипулировать выделением памяти и в итоге приводят к повреждению памяти. Итог — возможность выполнить произвольный код с теми же правами, что и у самого браузера. На практике это открывает путь к компрометации системы, краже данных или установке вредоносного ПО, причём достаточно, чтобы жертва просто открыла вредоносный сайт или скомпрометированное веб-приложение.
Уязвимость обнаружил и сообщил о ней Клеман Лесинь (Clément Lecigne) — исследователь из Threat Analysis Group, специального подразделения Google по анализу угроз. Находка внутренняя, что говорит о продолжающейся серьёзной работе службы безопасности компании над мониторингом собственных продуктов.
Хронология реагирования
- 25 июня 2025 года — Лесинь сообщил об уязвимости Google.
- 26 июня 2025 года — компания оперативно выкатила временное смягчение (mitigation) через конфигурационное изменение для всех пользователей стабильного канала на всех платформах. Однако эта мера — лишь заглушка, а не полноценное закрытие дыры.
- 1 июля 2025 года — вышел полноценный патч в составе стабильного релиза.
Google прямо подтвердила, что эксплойты под CVE-2025-6554 уже используются в реальных атаках, из-за чего обновление особенно срочное.
До какой версии нужно обновиться
Исправленные версии Chrome:
- Windows — 138.0.7204.96/.97;
- macOS — 138.0.7204.92/.93;
- Linux — 138.0.7204.96.
Раскатка идёт постепенно, в течение ближайших дней и недель, чтобы не создавать нагрузку на инфраструктуру Google и сохранить стабильность у миллионов пользователей.
Что делать
Проверить версию браузера и обновиться можно через меню «Настройки → О браузере Chrome» — это автоматически запустит проверку обновлений, скачает патч и установит его; останется только перезапустить браузер.
Отдельно Google отмечает: только применённое 26 июня временное смягчение не защищает полностью — нужен именно финальный патч. Организациям, использующим Chrome в корпоративной среде, стоит в приоритетном порядке раскатить обновление по всей сети: сочетание подтверждённой активной эксплуатации и высокой степени критичности делает эту задачу неотложной.
Для поиска подобных уязвимостей до выхода в продакшн Google применяет собственный набор инструментов — AddressSanitizer, MemorySanitizer и libFuzzer, — но, как показывает этот случай, даже развитая защита не исключает появления 0-day, которые находят и эксплуатируют раньше публичного раскрытия.
Источник: Cybersecurity News.