Эксперты по кибербезопасности подтвердили наличие критической уязвимости в JavaScript-движке V8, используемом в браузерах Google Chrome и Microsoft Edge. Уязвимость, получившая идентификаторы BDU:2025-14019 и CVE-2025-12429, связана с ошибками реализации проверки безопасности для стандартных элементов и оценивается как критическая по шкале CVSS 2.0 с максимальным баллом 10.0.
Детали уязвимости
Данная уязвимость архитектурного уровня классифицируется как CWE-358 - неправильно реализованная проверка безопасности для стандартных элементов. Её эксплуатация позволяет злоумышленнику, действующему удалённо, получить доступ на чтение и запись произвольных файлов через специально созданную HTML-страницу. Уязвимость затрагивает не только браузеры, но и операционные системы, включая Debian GNU/Linux версий 12 и 13, а также Fedora версий 41, 42 и 43.
По данным реестра уязвимостей, проблему обнаружили 10 октября 2025 года. Базовый вектор CVSS 3.1 оценивается как AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H с итоговой оценкой 8.8 баллов, что соответствует высокому уровню опасности. Такая оценка означает, что для эксплуатации уязвимости не требуется специальных привилегий, но необходимо взаимодействие с пользователем.
Затронутые версии программного обеспечения включают Microsoft Edge до версии 142.0.3595.53 и Google Chrome до версий 142.0.7444.59 и 142.0.7444.60. Также уязвимыми оказались пакеты Fedora EPEL версий 9 и 10.2. Производители уже подтвердили наличие уязвимости и выпустили соответствующие исправления.
Основной риск заключается в том, что злоумышленник может создать специальную веб-страницу, которая при посещении позволит получить полный контроль над файловой системой пользователя. Это означает возможность чтения конфиденциальных документов, изменения системных файлов и установки вредоносного программного обеспечения. При этом пользователь может даже не заметить атаку, поскольку для её осуществления достаточно просто посетить подготовленную веб-страницу.
Все производители уже выпустили обновления безопасности. Владельцам Google Chrome рекомендуется обновиться до версий, вышедших после 28 октября 2025 года, используя официальный блог обновлений браузера. Пользователям Microsoft Edge необходимо установить версию выше 142.0.3595.53 через Центр обновления Windows или скачать исправленную сборку с портала Microsoft Security Response Center.
Для пользователей операционных систем Debian GNU/Linux доступны исправления через стандартные репозитории безопасности. Владельцы систем Fedora могут получить обновления через менеджер пакетов dnf или yum, установив пакеты из официальных репозиториев. Разработчики особенно подчёркивают важность своевременного обновления, поскольку уязвимость позволяет осуществлять чтение и запись любых файлов без дополнительных привилегий.
Специалисты отмечают, что подобные уязвимости в JavaScript-движках особенно опасны, поскольку современные веб-приложения активно используют JavaScript для работы с файловой системой через различные API. Ошибка в проверке безопасности стандартных элементов может позволить обойти механизмы sandbox-изоляции, которые традиционно защищают браузеры от несанкционированного доступа к ресурсам компьютера.
На текущий момент информация о наличии публичных эксплойтов уточняется. Однако учитывая критический характер уязвимости и относительную простоту эксплуатации, эксперты прогнозируют появление работающих эксплойтов в ближайшее время. Поэтому рекомендуется установить обновления как можно скорее, не дожидаясь массовых атак.
Интересно, что уязвимость затрагивает не только настольные версии браузеров, но и встроенные компоненты операционных систем. Это связано с тем, что движок V8 используется не только в браузерах, но и в различных системных компонентах Linux-дистрибутивов. Следовательно, даже пользователи, не использующие Chrome или Edge, могут оказаться под угрозой, если в их системе присутствуют уязвимые версии связанных пакетов.
Кроме того, специалисты обращают внимание на то, что данная уязвимость демонстрирует сохраняющиеся проблемы безопасности в фундаментальных компонентах веб-браузеров. Несмотря на постоянное совершенствование механизмов изоляции и проверки безопасности, ошибки в реализации базовых функций продолжают представлять серьёзную угрозу для пользователей.
Для корпоративных пользователей особенно важно обеспечить централизованное развёртывание обновлений через системы управления. Администраторам рекомендуется проверить все рабочие станции на наличие уязвимых версий ПО и принудительно установить исправления. Временной мерой защиты может стать ограничение посещения непроверенных веб-сайтов до момента установки обновлений.
Все официальные ссылки на бюллетени безопасности и руководства по обновлению уже опубликованы производителями. Пользователи могут найти их на порталах Google Chromreleases, Microsoft Security Response Center, Debian Security Tracker и Fedora Bodhi. Регулярное обновление программного обеспечения остаётся наиболее эффективным способом защиты от подобных угроз в современной кибербезопасности.
Ссылки
- https://bdu.fstec.ru/vul/2025-14019
- https://nvd.nist.gov/vuln/detail/CVE-2025-12429
- https://www.cve.org/CVERecord?id=CVE-2025-12429
- https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html
- https://bodhi.fedoraproject.org/updates/FEDORA-2025-7c0b3fa81f
- https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2025-5a853648a6
- https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2025-12429
- https://security-tracker.debian.org/tracker/CVE-2025-12429
- https://issues.chromium.org/issues/450618029
