В экосистеме кибербезопасности обнаружена новая критическая уязвимость в наборе инструментов для веб-разработки DevTools браузера Google Chrome. Зарегистрированная под идентификатором BDU:2025-14028 и CVE-2025-12907, эта уязвимость представляет серьезную угрозу для миллионов пользователей по всему миру. Эксперты подтверждают наличие эксплойта в открытом доступе, что значительно увеличивает риски немедленной эксплуатации.
Детали уязвимости
Техническая суть проблемы заключается в недостаточной проверке входных данных (CWE-20) в компонентах DevTools. Злоумышленник может использовать эту уязвимость для удаленного выполнения произвольного кода на устройствах пользователей. При этом для успешной атаки требуется только переход жертвы по специально созданной ссылке или посещение скомпрометированного веб-сайта.
Уязвимость затрагивает Google Chrome версий до 140.0.7339.80 и 140.0.7339.81. Оценка по методологии CVSS демонстрирует крайне высокий уровень опасности. Согласно CVSS 2.0, базовая оценка составляет максимальные 10 баллов, что соответствует критическому уровню. В более современной версии CVSS 3.1 оценка достигает 8.8 баллов, классифицируясь как высокий уровень опасности. Такие показатели указывают на возможность полного компромета системы без необходимости аутентификации злоумышленника.
Особую озабоченность вызывает наличие работающего эксплойта в публичном доступе на платформе GitHub. Исследователь кибербезопасности под псевдонимом DExplo1ted опубликовал функциональный код эксплуатации уязвимости, что значительно упрощает ее использование даже недостаточно квалифицированными злоумышленниками. Соответственно, окно для атаки расширяется до глобальных масштабов.
Производитель оперативно отреагировал на обнаруженную проблему. Google подтвердил уязвимость и выпустил обновления безопасности. В официальном блоге компании опубликовано подробное руководство по обновлению браузера. Пользователям настоятельно рекомендуется немедленно установить последнюю версию Chrome через меню "Справка → О браузере Google Chrome", где система автоматически проверит и установит доступные обновления.
Анализ векторов атаки показывает, что эксплуатация уязвимости происходит через манипулирование ресурсами браузера. Злоумышленник может внедрить вредоносный код (malicious code), который обходит проверки безопасности в инструментах разработчика. В результате успешной атаки возможно получение полного контроля над системой, кража конфиденциальных данных и установка программ-вымогателей (ransomware).
Интересно, что уязвимость затрагивает именно инструменты разработчика DevTools, которые обычно используются веб-разработчиками для отладки и тестирования веб-приложений. Однако эксплойт может быть реализован через обычные веб-страницы, что делает угрозу актуальной для всех пользователей, а не только для разработчиков.
Специалисты по кибербезопасности рекомендуют организациям предпринять срочные меры. Во-первых, необходимо обеспечить немедленное обновление всех экземпляров Google Chrome в корпоративной сети. Во-вторых, следует усилить мониторинг подозрительной активности с использованием систем обнаружения вторжений IDS (Intrusion Detection System) и предотвращения вторжений IPS (Intrusion Prevention System). В-третьих, рекомендуется временно ограничить доступ к непроверенным веб-ресурсам.
Для домашних пользователей меры защиты более просты, но не менее важны. Помимо обновления браузера, следует проявлять осторожность при переходе по незнакомым ссылкам, особенно полученным через электронную почту или мессенджеры. Также полезно использовать дополнительные расширения безопасности, которые могут блокировать потенциально опасный контент.
Статус уязвимости в настоящее время определяется как "устраненная производителем", однако учитывая широкую распространенность уязвимых версий браузера, реальная угроза сохраняется до момента массового обновления. Исторически аналогичные уязвимости в популярных браузерах активно эксплуатировались злоумышленниками в течение нескольких недель после публикации информации о них.
Позитивным аспектом ситуации является скорость реакции Google на обнаруженную проблему. Компания оперативно выпустила исправления и предоставила подробную информацию о обновлении. Тем не менее, эффективность этих мер напрямую зависит от сознательности пользователей, которым необходимо установить последнюю версию браузера.
В контексте современных кибератак подобные уязвимости часто становятся начальным вектором для сложных многоэтапных компрометаций. Получив первоначальный доступ через уязвимость в браузере, злоумышленники могут затем установить постоянное присутствие (persistence) в системе и развернуть дополнительную вредоносную нагрузку (payload) для достижения своих целей.
Обнаружение этой уязвимости подчеркивает важность регулярного обновления программного обеспечения и соблюдения базовых принципов кибергигиены. Даже в таких надежных продуктах, как Google Chrome, периодически обнаруживаются критические уязвимости, требующие немедленного внимания пользователей и администраторов.
Ссылки
- https://bdu.fstec.ru/vul/2025-14028
- https://www.cve.org/CVERecord?id=CVE-2025-12907
- https://nvd.nist.gov/vuln/detail/CVE-2025-12907
- https://issues.chromium.org/issues?q=customfield1223088:0-M140
- https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop.html
- https://github.com/DExplo1ted/CVE-2025-12907-Exploit
- https://issues.chromium.org/issues/427367145
