Компания Google выпустила стабильную версию браузера Chrome 142, содержащую исправления для 20 обнаруженных уязвимостей безопасности, семь из которых имеют высокий уровень серьезности. Наиболее критические из них позволяют злоумышленникам выполнять произвольный код на атакованных системах. Обновление уже распространяется среди пользователей Windows, macOS и Linux.
Детали уязвимостей
Среди исправленных уязвимостей особую опасность представляют ошибки в механизме V8, отвечающем за выполнение JavaScript-кода. Две наиболее серьезные уязвимости CVE-2025-12428 и CVE-2025-12429 принесли исследователям по 50 000 долларов каждая в рамках программы вознаграждений за обнаружение уязвимостей. Первая представляет собой тип confusion (спутывание типов) в V8, обнаруженная исследователем Man Yue Mo из GitHub Security Lab. Вторая связана с inappropriate implementation (некорректной реализацией) в том же компоненте, найденная исследователем Aorui Zhang. Обе уязвимости могут быть использованы для выполнения вредоносного кода через специально созданные веб-страницы.
Помимо этого, обновление устраняет другие высокоуровневые уязвимости, включая проблему управления жизненным циклом объектов в медиакомпонентах (CVE-2025-12430), состояние гонки в V8 (CVE-2025-12432) и некорректные реализации в системе расширений (CVE-2025-12431). Отдельно стоит отметить вклад программы автоматического обнаружения уязвимостей Big Sleep, которая помогла выявить несколько проблем безопасности.
Восемь уязвимостей средней степени серьезности затрагивают различные компоненты браузера. Среди них use-after-free (использование после освобождения) в PageInfo и Ozone, состояние гонки в системе хранения данных, а также out-of-bounds read (чтение за пределами буфера) в V8 и WebXR. Также исправлены обход политик безопасности в расширениях и некорректные реализации пользовательского интерфейса безопасности в Omnibox, которые могли вводить пользователей в заблуждение относительно подлинности веб-сайтов.
Пять уязвимостей низкой степени серьезности в основном связаны с некорректным отображением элементов безопасности и обходом политик в расширениях. Хотя эти уязвимости представляют меньшую непосредственную угрозу, их устранение важно для поддержания общей целостности системы безопасности браузера.
Общая сумма вознаграждений, выплаченных исследователям за ответственное раскрытие этих уязвимостей, превысила 140 000 долларов. Эта практика демонстрирует эффективность программ bug bounty (вознаграждений за ошибки) в современной экосистеме кибербезопасности.
Версия 142.0.7444.59 для Linux, 142.0.7444.60 для Windows и 142.0.7444.60 для macOS будет автоматически распространяться среди пользователей в течение ближайших дней и недель. Google традиционно ограничивает доступ к детальной информации об исправленных уязвимостях до тех пор, пока большинство пользователей не получат обновление безопасности. Эта мера предотвращает потенциальную эксплуатацию незакрытых уязвимостей в непропатченных системах.
Регулярное обновление браузеров остается критически важной практикой в современной кибербезопасности, поскольку веб-браузеры часто становятся первоначальным вектором атаки для распространения вредоносного ПО, включая программы-вымогатели. Своевременная установка последних обновлений безопасности является одной из базовых мер защиты от постоянно эволюционирующих киберугроз.
