Компания Google выпустила срочное обновление безопасности для браузера Chrome, направленное на устранение критических уязвимостей, которые могли позволить злоумышленникам перехватывать системную память и выполнять произвольный код на устройствах пользователей. Новая версия браузера - 138.0.7204.183/.184 для Windows и Mac, а также 138.0.7204.183 для Linux - уже начала распространяться, и процесс обновления займет несколько дней или даже недель, в зависимости от региона и настроек пользователей.
Критическая уязвимость исправлена
Среди четырех исправленных уязвимостей наиболее опасной является CVE-2025-8292 - ошибка типа «use-after-free» в компоненте Media Stream. Эта уязвимость возникает, когда программа продолжает использовать область памяти после её освобождения, что позволяет злоумышленникам манипулировать содержимым этой памяти и, в худшем случае, выполнять произвольные команды на атакованной системе. Исследователь, обнаруживший эту проблему, сообщил о ней 19 июня 2025 года, за что получил вознаграждение в размере $8000 в рамках программы Bug Bounty от Google.
Уязвимости типа «use-after-free» считаются крайне серьезными, поскольку они могут привести к полному компрометированию системы: от кражи конфиденциальных данных до установки вредоносного ПО без ведома пользователя. Помимо этой проблемы, Google также устранил несколько других уязвимостей, обнаруженных в ходе внутренних аудитов безопасности.
Компания активно использует автоматизированные инструменты, такие как AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer и AFL для выявления потенциальных угроз ещё на этапе разработки. Эти системы помогают находить ошибки, связанные с повреждением памяти, нарушением потока управления и другими опасными сценариями, которые могут быть использованы злоумышленниками.
Несмотря на автоматическое обновление Chrome, пользователям рекомендуется проверить наличие актуальной версии вручную. Для этого достаточно зайти в «Настройки», выбрать раздел «О браузере Google Chrome» и дождаться завершения проверки. Задержка с обновлением может сделать систему уязвимой для атак, особенно учитывая, что информация об уязвимостях пока ограничена - Google придерживается политики ответственного раскрытия, чтобы минимизировать риски массовых атак до тех пор, пока большинство пользователей не установят патч.
Эксперты по кибербезопасности подчеркивают, что подобные уязвимости часто становятся мишенью для целенаправленных атак, особенно когда злоумышленники получают доступ к техническим деталям уязвимости до массового обновления. В данном случае Google действует оперативно, чтобы снизить подобные риски, однако пользователям также стоит проявлять бдительность и своевременно обновлять программное обеспечение.
На данный момент нет подтвержденных данных об активных атаках с использованием этих уязвимостей, однако их критический статус означает, что такие атаки могут появиться в ближайшее время. В связи с этим обновление браузера до последней версии становится не просто рекомендацией, а необходимостью для всех, кто заботится о безопасности своих данных.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2025-8292
- https://www.cve.org/CVERecord?id=CVE-2025-8292
- https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_29.html
- https://issues.chromium.org/issues/426054987
