Компания Google выпустила новое стабильное обновление для браузера Chrome, которое устраняет серьезную уязвимость в движке V8 для JavaScript. Этот компонент является фундаментальной частью браузера, отвечая за выполнение JavaScript-кода веб-приложений. Следовательно, любые нарушения в его работе могут создать значительные риски безопасности для пользователей.
Детали уязвимости
Обновление доступно под номерами версий 142.0.7444.162/.163 для Windows, 142.0.7444.162 для macOS и 142.0.7444.162 для Linux. По данным разработчика, распространение патча займет несколько дней или недель в зависимости от региона и настроек системы. Обычно Chrome автоматически загружает и устанавливает такие обновления, но для активации изменений может потребоваться перезапуск браузера.
Исправленная уязвимость зарегистрирована под идентификатором CVE-2025-13042 и имеет высокий уровень серьезности. Проблема классифицирована как "некорректная реализация в V8". Хотя технические детали уязвимости пока не раскрыты, известно, что ошибка могла позволить злоумышленнику манипулировать обработкой памяти. В результате такая атака потенциально приводила к неожиданному поведению браузера, сбоям или даже выполнению произвольного кода при определенных условиях.
Важно отметить, что движок V8 регулярно обрабатывает сложный пользовательский код из ненадежных источников. Поэтому даже незначительные логические ошибки в его реализации могут иметь серьезные последствия для безопасности. Например, ранее обнаруженные уязвимости в V8 использовались для обхода механизмов защиты памяти и компрометации браузера.
Уязвимость была обнаружена внешним исследователем с псевдонимом 303f06e3, который сообщил о ней Google 3 ноября 2025 года. Компания придерживается ответственного подхода к раскрытию информации: подробности об ошибке останутся ограничены до тех пор, пока большинство пользователей не получат обновление. Такая практика предотвращает обратную разработку исправления и создание эксплойтов для атак на еще не обновленные системы.
Google публично поблагодарил исследователя за ответственное сообщение об уязвимости. Согласно политике безопасности компании, исследователи обычно получают вознаграждение через программу Chrome Vulnerability Reward Program. Однако точная сумма выплаты за CVE-2025-13042 пока не объявлена.
Стоит подчеркнуть, что многие уязвимости в Chrome обнаруживаются с помощью автоматизированного тестирования и фаззинга. Команда разработчиков активно использует инструменты AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer и AFL. Эти системы помогают выявлять ошибки памяти, неопределенное поведение и другие программные дефекты до того, как ими смогут воспользоваться злоумышленники.
Для проверки текущей версии браузера пользователям рекомендуется открыть меню "Настройки" → "Справка" → "О браузере Google Chrome". Эта страница автоматически проверит наличие обновлений и предложит их установить. Специалисты по кибербезопасности советуют регулярно перезапускать браузер, чтобы гарантировать применение последних исправлений безопасности.
Данный выпуск продолжает серию постоянных усилий Google по укреплению безопасности Chrome. Браузер остается одним из самых популярных в мире, поэтому его защита затрагивает интересы миллиардов пользователей. Для разработчиков и аналитиков безопасности, желающих изучить полный список изменений, доступны журналы сборки в репозитории Chromium. Кроме того, энтузиасты могут получить ранний доступ к будущим версиям через бета-канал или канал для разработчиков, следуя инструкциям на сайте Chromium.
