Компания Google выпустила внеочередное обновление безопасности для браузера Chrome. Оно устраняет две уязвимости высокой степени опасности, которые потенциально могли привести к удалённому выполнению кода (RCE). Обновление стабильной версии под номером 143.0.7499.146 (для Windows и macOS) и .147 (для Linux) уже распространяется среди пользователей.
Детали уявзимостей
Исправленные уязвимости представляют собой серьёзные угрозы. Первая из них, получившая идентификатор CVE-2025-14765, является ошибкой типа «использование после освобождения» (use-after-free) в компоненте WebGPU. Данную проблему сообщил анонимный исследователь 30 сентября 2025 года, за что получил вознаграждение по программе Bug Bounty в размере 10 000 долларов. Вторая уязвимость, CVE-2025-14766, связана с чтением и записью за пределами выделенной памяти (out-of-bounds read and write) в движке V8. Её обнаружила специалист по безопасности Шаин Фазим, сообщившая о проблеме 8 декабря 2025 года. Размер вознаграждения за эту находку пока не определён.
Обе ошибки классифицированы как уязвимости высокой степени серьёзности. Ошибки типа use-after-free возникают, когда программа обращается к области памяти, уже освобождённой системой. Подобные дефекты могут позволить злоумышленнику выполнить произвольный код на устройстве жертвы. Соответственно, уязвимости, связанные с выходом за границы памяти в V8, могут привести к утечке информации или также к исполнению вредоносного кода (malicious payload). Таким образом, потенциальные атаки могли бы привести к полной компрометации системы.
Компания Google настоятельно рекомендует всем пользователям немедленно обновить браузер Chrome до последней версии. Обычно обновление устанавливается автоматически при перезапуске браузера. Однако пользователи могут проверить наличие обновлений вручную. Для этого необходимо открыть меню «Настройки», перейти в раздел «О браузере Chrome». После этого система начнёт поиск и установку актуальной версии. После завершения процесса браузер требуется перезапустить.
Следуя стандартной практике ответственного раскрытия информации, Google временно ограничил доступ к деталям об обнаруженных уязвимостях. Подобная мера стандартна и призвана защитить большинство пользователей, дав им время на установку патчей, прежде чем техническая информация станет общедоступной для потенциальных атакующих.
Важно отметить, что для поиска подобных уязвимостей на этапе разработки Google активно использует современные инструменты. Среди них - AddressSanitizer для обнаружения ошибок работы с памятью, MemorySanitizer для выявления неинициализированных чтений и libFuzzer для фаззинга. Эти технологии являются частью комплексного подхода к безопасности, цель которого - выявлять и устранять дефекты на ранних стадиях, не допуская их попадания в стабильные выпуски продуктов.
Регулярное и своевременное обновление программного обеспечения остаётся одним из самых эффективных методов защиты. Поэтому установка последних исправлений безопасности является критически важной мерой для всех пользователей, желающих минимизировать киберриски. Эксперты по безопасности напоминают, что даже самые современные системы защиты, такие как межсетевые экраны нового поколения (NGFW) или системы предотвращения вторжений (IPS), не могут гарантировать полную безопасность, если на конечном устройстве используется уязвимое ПО. Следовательно, ответственность за применение исправлений лежит на каждом пользователе.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-14765
- https://www.cve.org/CVERecord?id=CVE-2025-14766
- https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_16.html
- https://issues.chromium.org/issues/448294721
- https://issues.chromium.org/issues/466786677
