Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) выпустило срочное предупреждение о критической уязвимости нулевого дня в Google Chrome, которая уже активно эксплуатируется злоумышленниками. Уязвимость, получившая идентификатор CVE-2025-14174, представляет серьёзную угрозу для миллионов пользователей множества веб-браузеров, созданных на единой платформе.
Детали уязвимости
Исследователи в области безопасности обнаружили проблему, связанную с выходом за границы памяти, в компоненте ANGLE. Этот компонент является ключевой частью движка рендеринга Chromium. Данный недостаток позволяет удалённым злоумышленникам выполнять вредоносный код (malicious code) через специально созданные HTML-страницы. Важно отметить, что потенциально система может быть скомпрометирована без какого-либо взаимодействия с пользователем, что делает угрозу особенно опасной.
Масштаб проблемы выходит далеко за рамки Google Chrome. Уязвимость затрагивает все браузеры, основанные на Chromium, включая Microsoft Edge, Opera, Brave и другие производные продукты, которые полагаются на тот же движок рендеринга. Повсеместное распространение Chromium делает эту уязвимость чрезвычайно тревожной как для корпоративных сред, так и для индивидуальных пользователей по всему миру.
CISA внесла CVE-2025-14174 в свой каталог известных эксплуатируемых уязвимостей (KEV). Следовательно, федеральные агентства США обязаны принять немедленные меры в соответствии с директивой BOD 22-01. Согласно указаниям, организации должны применить доступные исправления или реализовать меры по смягчению последствий, предложенные вендорами, до 2 января 2026 года. Таким образом, системным администраторам и командам безопасности необходимо в приоритетном порядке обновить все браузеры на базе Chromium до последних версий.
Компания Google уже отреагировала на угрозу, выпустив 12 декабря 2025 года Chrome версии 131.0.6778.264, в которой данная уязвимость устранена. Соответственно, пользователям настоятельно рекомендуется проверить и установить это обновление как можно скорее. Ожидается, что другие разработчики браузеров на основе Chromium в ближайшее время также опубликуют патчи для своих продуктов.
Тем временем для сред, где немедленное обновление невозможно, CISA рекомендует альтернативные защитные меры. В частности, можно рассмотреть реализацию защитных механизмов на сетевом уровне, ограничение запуска браузеров с помощью политик контроля приложений или временный переход на альтернативные браузеры, не основанные на Chromium, до тех пор пока исправления не будут развёрнуты. Кроме того, командам безопасности следует усилить мониторинг на предмет подозрительных исполнений HTML-файлов и внедрить правила обнаружения на конечных точках для выявления потенциальных попыток эксплуатации.
Эксперты подчёркивают, что активная эксплуатация уязвимостей в столь распространённых компонентах, как Chromium, является излюбленной тактикой современных угроз, включая целевые атаки (APT). Следовательно, промедление с установкой обновлений может привести к серьёзным инцидентам безопасности, таким как компрометация данных или установка программ-вымогателей (ransomware). В текущей ситуации оперативное применение патчей остаётся наиболее эффективным способом защиты. Поэтому всем организациям и пользователям следует отнестись к данному предупреждению с максимальной серьёзностью и проверить состояние своих систем в кратчайшие сроки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-14174
- https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_10.html
- https://issues.chromium.org/issues/466192044
