Google выпустила экстренное обновление безопасности для Chrome, устраняющее три уязвимости высокой степени риска

Компания Google выпустила срочное обновление безопасности для своего браузера Chrome, устраняющее три уязвимости высокой степени серьезности. Эти уязвимости могли позволить злоумышленникам получить утечку конфиденциальной информации и вызвать нестабильность системы. Новые версии Chrome 140.0.7339.207/.208 для Windows и Mac, а также 140.0.7339.207 для Linux содержат исправления критических недостатков в движке V8 JavaScript, который обрабатывает веб-содержимое в браузере.

Детали уязвимостей

Обновление безопасности устраняет три различные уязвимости, все они классифицированы как угрозы высокого уровня. Наиболее серьезный недостаток, CVE-2025-10890, представляет собой уязвимость утечки информации через побочный канал в движке V8 JavaScript. Этот тип уязвимости потенциально может позволить вредоносным веб-сайтам извлекать конфиденциальные данные из сеансов просмотра пользователей, используя разницу во времени выполнения кода. Исследователь безопасности Мате Марьянович из компании SharpEdged обнаружил и сообщил об этой критической уязвимости 9 июля 2025 года.

Атаки через побочные каналы представляют собой сложный вектор угроз, при котором злоумышленники не получают прямой доступ к данным, а вместо этого анализируют косвенную информацию, такую как время выполнения операций, потребление энергии или электромагнитные излучения, чтобы получить конфиденциальные сведения.

Две дополнительные уязвимости высокой серьезности, CVE-2025-10891 и CVE-2025-10892, связаны с условиями целочисленного переполнения в движке V8. Эти недостатки были выявлены автоматизированным проектом безопасности Google под названием Big Sleep 9 и 10 сентября 2025 года соответственно. Уязвимости целочисленного переполнения возникают, когда арифметические операции производят результаты, превышающие максимальное значение, которое может хранить тип данных, что потенциально приводит к повреждению памяти, неожиданному поведению или сбоям системы.

Уязвимости целочисленного переполнения в браузерных движках особенно опасны, поскольку они могут быть активированы с помощью вредоносного JavaScript-кода на веб-сайтах. Успешная эксплуатация этих уязвимостей могла бы позволить злоумышленникам выполнять произвольный код, вызывать сбои в работе браузера или потенциально получать несанкционированный доступ к системным ресурсам. Движок V8 обрабатывает JavaScript-код с каждого веб-сайта, который посещают пользователи, что делает эти уязвимости особенно критичными для безопасности.

Пользователям Chrome рекомендуется немедленно обновить свои браузеры для защиты от этих угроз. Обновление будет распространяться постепенно в течение следующих дней и недель через механизм автоматического обновления Chrome. Пользователи могут вручную проверить наличие обновлений, перейдя в меню настроек Chrome и выбрав пункт «О браузере Chrome».

Команда безопасности Google подчеркнула, что доступ к подробной информации об ошибках остается ограниченным до тех пор, пока большинство пользователей не получат обновления безопасности. Такой подход предотвращает возможность изучения злоумышленниками деталей уязвимостей до того, как пользователи смогут защититься с помощью последних обновлений. Эта практика, известная как скоординированное раскрытие уязвимостей, является стандартной в индустрии кибербезопасности и помогает минимизировать риски для пользователей в период между выпуском исправления и его массовым внедрением.

Эксперты по безопасности отмечают, что регулярное и своевременное обновление программного обеспечения, особенно веб-браузеров, является одним из наиболее эффективных способов защиты от киберугроз. Поскольку браузеры являются основным интерфейсом для взаимодействия с интернетом, они часто становятся мишенью для атак. Уязвимости в таких критически важных компонентах, как JavaScript-движки, требуют особого внимания, поскольку они могут быть использованы для компрометации целых систем.

Детали уязвимостей

Ссылки