В октябре 2025 года обнаружена критическая уязвимость в JavaScript-движке V8, используемом браузерами Google Chrome и Microsoft Edge. Уязвимость CVE-2025-12432, зарегистрированная в базе BDU:2025-14008, представляет серьезную угрозу безопасности миллионов пользователей по всему миру.
Детали уязвимости
Проблема относится к категории уязвимостей синхронизации и классифицируется как "состояние гонки" (race condition). Конкретно речь идет о неправильной синхронизации при работе с общими ресурсами в движке V8. Данная ошибка позволяет удаленному злоумышленнику выполнить произвольный код на атакуемом устройстве. Эксплуатация уязвимости осуществляется через механизм манипулирования временными параметрами и состоянием системы.
Согласно данным базы уязвимостей, проблема затрагивает широкий спектр программных продуктов. В перечень уязвимого ПО входят браузеры Google Chrome версий до 142.0.7444.59/60 и Microsoft Edge до версии 142.0.3595.53. Кроме того, уязвимость распространяется на популярные дистрибутивы Linux, включая Debian GNU/Linux 12 и 13, Fedora 41-43, а также Fedora EPEL 9 и 10.2.
Оценка критичности уязвимости демонстрирует ее высокую опасность. По шкале CVSS 2.0 уязвимость получила максимальный балл 10.0, что соответствует критическому уровню угрозы. В более современной системе оценки CVSS 3.1 базовый показатель составляет 8.8 баллов, что классифицируется как высокий уровень опасности. Столь высокие оценки обусловлены тем, что для эксплуатации уязвимости не требуются специальные привилегии или взаимодействие с пользователем.
Производители оперативно отреагировали на обнаруженную проблему. На текущий момент уязвимость уже устранена во всех затронутых продуктах. Пользователям рекомендуется немедленно обновить программное обеспечение до актуальных версий. Для Google Chrome необходимо установить версию 142.0.7444.59/60 или выше, тогда как пользователям Microsoft Edge требуется обновление до версии 142.0.3595.53 или новее.
Владельцам систем под управлением Debian GNU/Linux следует установить обновления через официальные репозитории. Пользователи дистрибутивов Fedora могут найти необходимые исправления в системе обновлений Bodhi. Особое внимание стоит уделить системам Fedora EPEL, для которых также выпущены соответствующие патчи.
Важно отметить, что уязвимость затрагивает не только браузеры, но и операционные системы, в которых используются уязвимые версии движка V8. Следовательно, даже если пользователь не работает непосредственно с браузером, система может оставаться уязвимой через другие компоненты, использующие тот же движок JavaScript.
На момент публикации информации о наличии работающих эксплойтов в открытом доступе не обнаружено. Однако учитывая критический характер уязвимости, эксперты предполагают, что злоумышленники могут активно работать над созданием методов эксплуатации. Поэтому затягивание с установкой обновлений значительно повышает риски компрометации систем.
Кибербезопасность современных веб-браузеров остается одной из наиболее актуальных проблем. Движок V8, являясь ключевым компонентом Chromium-браузеров, требует постоянного мониторинга и своевременного обновления. Регулярное применение патчей безопасности должно стать обязательной практикой для всех пользователей и системных администраторов.
Производители рекомендуют настроить автоматическое обновление браузеров и операционных систем. Дополнительно стоит рассмотреть возможность использования дополнительных средств защиты, таких как sandbox-технологии и механизмы контроля целостности приложений. Эти меры помогут снизить потенциальный ущерб даже в случае успешной эксплуатации аналогичных уязвимостей в будущем.
Обнаружение и оперативное устранение уязвимости CVE-2025-12432 демонстрирует эффективность современной системы реагирования на киберугрозы. Своевременная координация между различными производителями программного обеспечения позволяет минимизировать временной промежуток между обнаружением уязвимости и выпуском исправлений. Тем не менее, конечная безопасность систем зависит от сознательности пользователей, своевременно устанавливающих обновления безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2025-14008
- https://www.cve.org/CVERecord?id=CVE-2025-12432
- https://nvd.nist.gov/vuln/detail/CVE-2025-12432
- https://bodhi.fedoraproject.org/updates/FEDORA-2025-31f0d8bfa9
- https://bodhi.fedoraproject.org/updates/FEDORA-2025-7c0b3fa81f
- https://bodhi.fedoraproject.org/updates/FEDORA-2025-916064e307
- https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2025-5a853648a6
- https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html
- https://issues.chromium.org/issues/439522866
