Компания Google выпустила внеочередное обновление безопасности для браузера Chrome, устраняющее критическую уязвимость, которая может позволить злоумышленникам выполнять произвольный код на атакованных системах. Уязвимость, получившая идентификатор CVE-2025-9132, затрагивает механизм V8 JavaScript и представляет серьёзную угрозу для миллионов пользователей по всему миру.
Детали уязвимости
Обнаруженная уязвимость классифицируется как ошибка типа «out of bounds write» (запись за пределами границ) в движке V8, который отвечает за выполнение JavaScript-кода в браузере. Подобные уязвимости возникают, когда программа записывает данные за пределы выделенной области памяти, что может привести к повреждению данных и позволить злоумышленникам получить несанкционированный контроль над системой. Уязвимости такого класса считаются особенно опасными, поскольку они могут быть использованы для выполнения произвольного кода с правами текущего пользователя.
Угроза была обнаружена 4 августа 2025 года командой Google Big Sleep, которая занимается автоматизированным поиском уязвимостей с использованием технологий искусственного интеллекта. Это подразделение демонстрирует растущую роль ИИ в обеспечении кибербезопасности, позволяя выявлять потенциальные угрозы до того, как они станут использоваться злоумышленниками.
Для устранения проблемы Google выпустила обновлённые версии браузера: 139.0.7258.138 и 139.0.7258.139 для пользователей Windows и macOS, а также версию 139.0.7258.138 для Linux. Обновление уже начало распространяться через встроенный механизм автоматического обновления Chrome. Компания использует постепенное развёртывание, что позволяет отслеживать возможные проблемы с совместимостью и оперативно реагировать на них.
В соответствии с политикой ответственного раскрытия информации, технические детали уязвимости остаются ограниченными до тех пор, пока большинство пользователей не установят обновление. Такой подход предотвращает возможность массовых атак до того, как пользователи успеют защитить свои системы. Хотя конкретные сценарии эксплуатации не раскрываются, уязвимости типа «out of bounds write» в JavaScript-движках обычно эксплуатируются через специально сконструированные веб-страницы или вредоносный контент.
Успешная атака с использованием CVE-2025-9132 может позволить злоумышленникам обойти песочницу Chrome, получить доступ к конфиденциальным данным или установить вредоносное программное обеспечение. Высокий уровень опасности, присвоенный уязвимости, указывает на то, что её эксплуатация может привести к серьёзным последствиям для конфиденциальности и безопасности пользователей.
Специалисты по информационной безопасности настоятельно рекомендуют пользователям немедленно обновить браузер до последней версии. Это можно сделать через меню «Настройки» → «Справка» → «О браузере Chrome», после чего система автоматически проверит и установит доступные обновления. Корпоративным клиентам также рекомендуется ускорить развёртывание патча в своих сетях, чтобы минимизировать риски.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2024-9132
- https://nvd.nist.gov/vuln/detail/CVE-2024-9132
- https://www.arista.com/en/support/advisories-notices/security-advisory/20454-security-advisory-0105
