Google выпустил экстренное обновление безопасности для стабильной версии браузера Chrome, устраняющее критическую уязвимость типа «use-after-free» (использование после освобождения) в графической библиотеке ANGLE. Данная уязвимость может позволить злоумышленникам выполнять произвольный код на уязвимых системах. Исправления уже включены в стабильные версии Chrome 139.0.7258.154/.155 для Windows и macOS, а также 139.0.7258.154 для Linux. Пользователям настоятельно рекомендуется немедленно обновить браузер, поскольку патч будет автоматически распространяться в течение следующих дней и недель.
Детали уязвимости
Уязвимость, получившая идентификатор CVE-2025-9478, была обнаружена командой Google Big Sleep 11 августа 2025 года. Она затрагивает компонент ANGLE, который преобразует вызовы OpenGL ES в вызовы нативных графических API на различных платформах. Эксплуатация данной уязвимости через специально созданный веб-сайт может привести к условию использования после освобождения памяти, при котором участок памяти повторно используется после его освобождения. Путем тщательно спланированных операций WebGL или Canvas злоумышленник может повредить память браузера и добиться удаленного выполнения кода с привилегиями текущего пользователя.
Учитывая центральную роль ANGLE в процессе визуализации Chrome на десктопных и мобильных платформах, эксплуатация уязвимости может быть реализована по сценарию drive-by download: жертве достаточно просто посетить скомпрометированную или специально созданную веб-страницу. Успешная атака может позволить злоумышленникам установить вредоносное программное обеспечение, похитить данные или продвинуться глубже в корпоративную сеть, что делает эту уязвимость особенно опасной для целей с высокой ценностью и корпоративных пользователей.
Команда безопасности Google уже развернула исправление в последних стабильных сборках. Администраторам, управляющим крупными развертываниями, следует обеспечить безотлагательное распространение версии 139.0.7258.154/.155. Для организаций со строгими процедурами управления изменениями доступны корпоративные пакеты Chrome и установщики MSI, чтобы облегчить офлайн- или поэтапное развертывание.
В дополнение к обновлению Chrome, командам безопасности рекомендуется отслеживать прокси- и журналы конечных точек на предмет необычных шаблонов вызовов WebGL или графических API, применять принцип наименьших привилегий для ограничения воздействия скомпрометированного процесса браузера, а также обучать пользователей опасностям посещения недоверенных веб-сайтов, особенно тех, которые размещают контент WebGL.
Google продолжает поддерживать совместное обнаружение уязвимостей, предлагая вознаграждения за ошибки, о которых сообщают внешние исследователи. Хотя детали CVE-2025-9478 остаются ограниченными до тех пор, пока большинство пользователей не получат исправление, признание заслуг внешнего исследователя подчеркивает ценность государственно-частного партнерства в обеспечении безопасности проектов с открытым исходным кодом.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-9478
- https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_26.html
- https://issues.chromium.org/issues/437825940
