Национальный Банк данных угроз безопасности информации (BDU) подтвердил критическую уязвимость в популярных веб-браузерах Google Chrome и Microsoft Edge. Уязвимость, зарегистрированная под идентификатором BDU:2025-16319, связана с компонентом WebGPU и получила международный идентификатор CVE-2025-14765. Данная проблема представляет серьёзную угрозу, поскольку злоумышленник может использовать её для полного компрометирования системы через специально созданную веб-страницу.
Детали уязвимости
Уязвимость классифицируется как «использование после освобождения» (CWE-416). Этот тип ошибки программирования возникает, когда приложение продолжает использовать участок памяти после того, как он был освобождён. Подобная ситуация создаёт нестабильность и может быть использована для выполнения произвольного вредоносного кода. В данном случае ошибка затронула реализацию WebGPU - современного API, предназначенного для высокопроизводительной 3D-графики и параллельных вычислений прямо в браузере.
Оценка по методологии CVSS (Common Vulnerability Scoring System) подчёркивает высокую опасность уязвимости. Базовая оценка CVSS 2.0 достигает максимального значения 10.0, что соответствует критическому уровню. Более современная оценка CVSS 3.1 составляет 8.8 баллов, что также классифицируется как высокий уровень опасности. Вектор атаки оценивается как сетевой (AV:N), не требующий специальных привилегий (PR:N) или сложных условий (AC:L). Однако для успешной атаки необходимо взаимодействие с пользователем (UI:R), например, посещение им злонамеренной страницы.
Уязвимость затрагивает Google Chrome версий до 143.0.7499.146 и Microsoft Edge версий до 143.0.3650.96. Оба производителя уже признали проблему и выпустили обновления безопасности. Специалисты по кибербезопасности настоятельно рекомендуют пользователям немедленно проверить и обновить свои браузеры. Для этого необходимо перейти в меню «Справка» или «Настройки» и выбрать пункт «О браузере». После этого приложение автоматически проверит наличие и установит последнюю версию.
Эксплуатация уязвимости CVE-2025-14765 может привести к тяжёлым последствиям. Удалённый злоумышленник, создав специальную HTML-страницу, способен вызвать отказ в обслуживании (DoS) или, что гораздо опаснее, выполнить произвольный код на устройстве жертвы. Это открывает путь для полного контроля над системой, кражи конфиденциальных данных или установки вредоносного программного обеспечения, такого как программы-вымогатели (ransomware). Стоит отметить, что на момент публикации информация о наличии активных эксплойтов в дикой природе уточняется.
Производители оперативно отреагировали на угрозу. Google выпустил стабильное обновление для настольных версий Chrome 16 декабря 2025 года, как указано в официальном блоге. Компания Microsoft также опубликовала бюллетень безопасности, посвящённый данной проблеме. Таким образом, основной и единственный эффективный способ устранения уязвимости - установка последних патчей. Альтернативные методы защиты, такие как отключение JavaScript или WebGPU, считаются непрактичными, поскольку они нарушают функциональность большинства современных веб-сайтов.
Этот инцидент в очередной раз демонстрирует важность своевременного обновления программного обеспечения. Веб-браузеры, как ключевое прикладное ПО для выхода в интернет, являются одной из главных мишеней для кибератак. Уязвимости в таких сложных компонентах, как WebGPU, подчёркивают постоянную гонку вооружений между разработчиками и исследователями безопасности. К счастью, в данном случае скоординированное раскрытие информации через BDU и партнёрские программы безопасности позволило быстро выпустить исправления до того, как уязвимость получила широкое распространение среди киберпреступников.
Пользователям и администраторам корпоративных сетей следует безотлагательно предпринять действия. Во-первых, необходимо убедиться, что все экземпляры Chrome и Edge обновлены до указанных безопасных версий. Во-вторых, стоит рассмотреть возможность использования дополнительных средств защиты, таких как системы предотвращения вторжений (IPS). В-третьих, важно соблюдать общие правила кибергигиены: не посещать подозрительные сайты и быть осторожными с переходами по незнакомым ссылкам. Регулярное обновление остаётся краеугольным камнем защиты от подобных критических угроз нулевого дня.
Ссылки
- https://bdu.fstec.ru/vul/2025-16319
- https://www.cve.org/CVERecord?id=CVE-2025-14765
- https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_16.html
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-14765
- https://issues.chromium.org/issues/448294721
