В октябре 2025 года была обнаружена критические уязвимость в JavaScript-движке V8 браузера Google Chrome. Идентифицированная как BDU:2025-13845 и CVE-2025-12036, эта уязвимость представляет серьезную угрозу безопасности для миллионов пользователей по всему миру. Согласно данным базы уязвимостей, проблема затрагивает версии Chrome до 141.0.7390.123.
Детали узявимости
Суть уязвимости заключается в ошибках реализации проверки безопасности для стандартных элементов движка V8. Технически, это классифицируется как неправильно реализованная проверка безопасности (CWE-358). Эксплуатация данной уязвимости позволяет удаленному злоумышленнику вызвать отказ в обслуживании (Denial of Service), что может привести к полному зависанию или аварийному завершению работы браузера.
Уровень опасности оценивается как критический по шкале CVSS 2.0 с максимальным баллом 10.0. Более современные метрики CVSS 3.0 и 4.0 также подтверждают высокий уровень угрозы с оценками 8.8 и 7.5 соответственно. Особую обеспокоенность вызывает тот факт, что для эксплуатации уязвимости не требуется аутентификация пользователя, а вектор атаки осуществляется через сеть с низким уровнем сложности реализации.
Затронутыми оказались все версии Google Chrome до 141.0.7390.122 включительно. Производитель оперативно отреагировал на угрозу, выпустив патчи в версии 141.0.7390.123. При этом тип атаки классифицируется как злоупотребление функционалом, что означает использование легитимных функций браузера в malicious (вредоносных) целях.
Ситуация осложняется тем, что V8 является ключевым компонентом не только Google Chrome, но и многих других приложений, включая Node.js и Electron-приложения. Следовательно, потенциально уязвимыми могут оказаться различные программные продукты, использующие этот движок JavaScript.
Компания Google подтвердила наличие уязвимости и ее устранение в стабильном канале обновлений. Пользователям настоятельно рекомендуется немедленно обновить браузер до последней версии. Процесс обновления обычно происходит автоматически, но пользователи могут ускорить его, перейдя в меню "Справка" → "О браузере Google Chrome".
Эксперты по кибербезопасности отмечают, что подобные уязвимости в основных компонентах браузеров особенно опасны, поскольку могут быть использованы в составе цепочки атак. Хотя на текущий момент информация о наличии работающих эксплойтов уточняется, традиционно подобные критические уязвимости быстро привлекают внимание киберпреступников.
Рекомендации по безопасности включают не только своевременное обновление браузера, но и соблюдение общих правил кибергигиены. В частности, следует избегать посещения подозрительных веб-сайтов и не переходить по непроверенным ссылкам. Дополнительной мерой защиты может служить использование механизмов sandboxing (песочницы), которые ограничивают потенциальный ущерб от подобных атак.
Важно подчеркнуть, что уязвимость была успешно устранена производителем. Тем не менее, инцидент демонстрирует постоянную необходимость поддержания программного обеспечения в актуальном состоянии. Регулярные обновления остаются наиболее эффективным способом защиты от известных уязвимостей.
Для предприятий и организаций данный случай служит напоминанием о важности своевременного управления патчами. Системные администраторы должны обеспечить развертывание обновленной версии Chrome на всех корпоративных рабочих станциях. Многие системы управления уязвимостями уже включили CVE-2025-12036 в свои базы данных для мониторинга.
Полная техническая информация о выпущенных исправлениях доступна в официальном блоге Google Chrome Releases. Специалисты также могут ознакомиться с деталями реализации патча через репозитории исходного кода проекта Chromium.
В целом, оперативное реагирование Google на обнаруженную уязвимость заслуживает положительной оценки. Однако сам факт существования таких критических уязвимостей в столь распространенном программном обеспечении подчеркивает комплексный характер современных киберугроз и необходимость многоуровневого подхода к безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2025-13845
- https://www.cve.org/CVERecord?id=CVE-2025-12036
- https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_21.html
- https://issues.chromium.org/issues/452296415
