Обнаружена критическая уязвимость в движке Chrome V8, угрожающая российским ОС

В Банке данных угроз (BDU) безопасности информации зарегистрирована новая критическая уязвимость, получившая идентификатор BDU:2025-16061. Данная уязвимость затрагивает ключевой компонент современных веб-браузеров - движок JavaScript V8, используемый в Google Chrome и его производных. Соответственно, проблема распространяется на популярные российские операционные системы, которые включают уязвимые версии браузера в свои дистрибутивы.

Детали уязвимости

Уязвимость классифицирована как ошибка преобразования типов (type confusion) в движке V8. Технически, она связана с некорректной обработкой типов данных, что позволяет злоумышленнику манипулировать структурами в памяти. Эксплуатация этой уязвимости может привести к самым тяжелым последствиям. В частности, удаленный злоумышленник может создать специальную HTML-страницу, при посещении которой жертва рискует столкнуться с полным компрометацией системы. Потенциальные риски включают несанкционированный доступ к конфиденциальной информации и возможность вызвать отказ в обслуживании (DoS).

Уровень опасности уязвимости оценен как критический. Базовый балл по шкале CVSS 2.0 достигает максимального значения 10.0, а по более современной CVSS 3.1 составляет 8.8, что соответствует высокому уровню. Вектор атаки предполагает эксплуатацию через сеть без необходимости аутентификации, однако для успешной атаки требуется взаимодействие с пользователем, например, переход по вредоносной ссылке. При этом уязвимость позволяет злоумышленнику получить полный контроль над системой.

Под угрозой оказались не только оригинальный Google Chrome версий до 142.0.7444.59, но и ключевые отечественные операционные системы, поставляемые с браузером на базе Chromium. В перечень уязвимого программного обеспечения внесены РЕД ОС версий 7.3 и 8.0 от ООО «Ред Софт», а также Astra Linux Special Edition 1.7 от ООО «РусБИТех-Астра». Все эти системы включены в единый реестр российских программ для обеспечения импортозамещения в государственном и корпоративном секторе.

Производители операционных систем и браузера уже подтвердили наличие уязвимости и оперативно выпустили патчи. Компания Google устранила проблему в стабильном релизе Chrome, о чем сообщила в официальном блоге. Разработчики Astra Linux опубликовали бюллетень безопасности, в котором рекомендовали обновить пакет chromium до версии 1:142.0.7444.175 или выше. Владельцам систем РЕД ОС необходимо применить обновления через официальные репозитории для соответствующих версий.

Эксперты по кибербезопасности подчеркивают, что подобные уязвимости в фундаментальных компонентах, таких как движки JavaScript, представляют особую опасность. Они являются привлекательной целью для создателей вредоносного ПО (malware) и групп, занимающихся целенаправленными атаками (APT). Хотя на текущий момент наличие работающего эксплойта (программы для использования уязвимости) находится на стадии уточнения, высокая критичность дефекта делает его потенциальным кандидатом для быстрого внедрения в арсенал киберпреступников.

Следовательно, системным администраторам и конечным пользователям настоятельно рекомендуется немедленно установить все доступные обновления. Для Google Chrome обновление происходит автоматически, но стоит проверить текущую версию в настройках. Пользователям российских ОС необходимо выполнить команды обновления пакетов через штатные менеджеры программ, следуя инструкциям от вендоров. Своевременная установка патчей остается наиболее эффективным способом защиты от удаленных атак, использующих подобные уязвимости нулевого дня.

Данный инцидент также присвоен международному идентификатору CVE-2025-12428, что облегчает его отслеживание в глобальных базах уязвимостей. Регулярный мониторинг источников, таких как BDU и NIST, является важной практикой для поддержания безопасности инфраструктуры, особенно при использовании импортозамещающего программного обеспечения.

Детали уязвимости

Ссылки