Компания Google выпустила критически важное обновление безопасности для своего браузера Chrome, направленное на устранение шести уязвимостей. Три из них имеют высокий уровень опасности и потенциально позволяют злоумышленникам выполнять произвольный код на атакованных системах, что может привести к полному захвату контроля над устройством пользователя. Обновление стабильной ветки, версия 139.0.7258.127/.128 для Windows и Mac, а также 139.0.7258.127 для Linux, было анонсировано 12 августа 2025 года и будет постепенно развертываться среди пользователей в ближайшие дни и недели.
Этот патч представляет собой масштабный ответ на обнаруженные уязвимости, выявленные как внешними исследователями безопасности, так и внутренними командами Google. Наибольшую обеспокоенность экспертов вызывают именно три высокосерьезные проблемы, затрагивающие ключевые компоненты браузера: движок JavaScript V8, системы обработки графики и библиотеки медиакодеков. Эксплуатация этих уязвимостей открывает путь для серьезных атак.
Детали критических уязвимостей
Наиболее опасной признана уязвимость CVE-2025-8879, связанная с переполнением кучи (heap buffer overflow) в библиотеке libaom, отвечающей за обработку видеоконтента. Переполнения кучи особенно критичны, так как позволяют злоумышленникам перезаписывать области памяти и внедрять вредоносный код. Данная проблема была обнаружена анонимным исследователем еще 15 июля 2025 года.
Вторая высокосерьезная уязвимость, CVE-2025-8880, затрагивает сам движок V8. Она представляет собой состояние гонки (race condition), которое может быть использовано через специально созданный веб-контент для выполнения произвольного кода. Состояния гонки возникают при одновременном доступе нескольких процессов к общим ресурсам, создавая уязвимые моменты для вмешательства злоумышленников. Исследователь Seunghyun Lee (известный под ником @0x10n) сообщил о ней Google 23 июля 2025 года.
Третья проблема, CVE-2025-8901, была выявлена 30 июля 2025 года и связана с записью за пределами выделенной памяти (out-of-bounds write) в компоненте ANGLE. Этот графический движок Google отвечает за трансляцию вызовов OpenGL. Примечательно, что данную уязвимость обнаружила не человеческая команда, а искусственный интеллект Google под названием "Big Sleep". Этот факт подчеркивает растущую роль автоматизированных систем и ИИ в поиске сложных уязвимостей.
Дополнительные исправления и политика Google
Обновление также включает патчи для двух уязвимостей средней степени опасности (CVE-2025-8881 и CVE-2025-8882). Первая связана с некорректной реализацией в компоненте выбора файлов (File Picker), о чем сообщил исследователь Алессандро Ортис. Вторая представляет собой уязвимость типа "использование после освобождения" (use after free) в компоненте Aura (инфраструктура пользовательского интерфейса Chrome), обнаруженная Умаром Фаруком.
Google традиционно воздерживается от публикации детальной технической информации об исправленных уязвимостях до тех пор, пока подавляющее большинство пользователей не установит обновление. Эта стратегия ответственного раскрытия информации (responsible disclosure) призвана минимизировать риск массовой эксплуатации уязвимостей злоумышленниками в период, когда патчи еще не получили широкого распространения. Компания подчеркивает свою постоянную зависимость от продвинутых инструментов автоматизированного тестирования безопасности, таких как AddressSanitizer, MemorySanitizer и технологии фаззинга, для выявления потенциальных проблем на ранних стадиях разработки, еще до выхода стабильных версий браузера.
Рекомендации пользователям
Специалисты по кибербезопасности единогласно призывают всех пользователей Google Chrome немедленно проверить наличие обновлений и установить их. Промедление с установкой патча существенно повышает риск стать жертвой атаки, использующей одну из описанных критических уязвимостей. Для обновления браузера необходимо перейти в меню "Справка" > "О браузере Google Chrome". Браузер автоматически проверит наличие новой версии и предложит ее установить. После завершения установки требуется перезапуск браузера для активации исправлений. Регулярное и своевременное обновление программного обеспечения остается одним из самых эффективных базовых методов защиты от постоянно эволюционирующих киберугроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-8879
- https://www.cve.org/CVERecord?id=CVE-2025-8880
- https://www.cve.org/CVERecord?id=CVE-2025-8901
- https://www.cve.org/CVERecord?id=CVE-2025-8881
- https://www.cve.org/CVERecord?id=CVE-2025-8882
- https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_12.html
- https://issues.chromium.org/issues/432035817
- https://issues.chromium.org/issues/433533359
- https://issues.chromium.org/issues/435139154
- https://issues.chromium.org/issues/433800617
- https://issues.chromium.org/issues/435623339
