Google выпустил экстренное обновление безопасности для браузера Chrome, устраняющее критические уязвимости, которые могут позволить злоумышленникам получить полный контроль над компьютерами пользователей. Это обновление уже доступно для пользователей Windows и Mac (версия 138.0.7204.168), а также для Linux (138.0.7204.168). Процесс автоматического распространения патча займет несколько дней или недель, поэтому компания настоятельно рекомендует пользователям самостоятельно проверить наличие обновлений и установить их как можно скорее.
Детали исправления
В рамках этого обновления были исправлены три серьезные уязвимости, две из которых имеют высокий уровень опасности и связаны с ошибками типа «type confusion» в движке V8 - ключевом компоненте Chrome, отвечающем за обработку JavaScript. Такие уязвимости особенно опасны, поскольку позволяют злоумышленникам манипулировать интерпретацией типов данных браузером, что может привести к повреждению памяти и выполнению произвольного кода.
Первая уязвимость, получившая идентификатор CVE-2025-8010, была обнаружена и сообщена исследователем безопасности Shaheen Fazim 9 июля 2025 года. За ее выявление Google выплатил вознаграждение в размере $8 000 в рамках программы Security Reward Program. Вторая уязвимость (CVE-2025-8011) также была обнаружена Fazim в тот же день, однако сумма вознаграждения за нее пока остается неизвестной.
Эксплуатация этих уязвимостей может позволить злоумышленникам обходить механизмы защиты, красть конфиденциальные данные пользователей, такие как пароли и платежные реквизиты, а также устанавливать вредоносное ПО без ведома владельца устройства. Кроме того, подобные атаки могут приводить к полному захвату контроля над системой, что делает их крайне опасными не только для рядовых пользователей, но и для корпоративных сетей.
Google традиционно ограничивает раскрытие детальной информации об уязвимостях до тех пор, пока большинство пользователей не обновят свои браузеры. Эта мера позволяет минимизировать риск массовых атак, основанных на эксплойтах, разработанных до установки исправлений. Однако, учитывая публичность информации о новых обновлениях, злоумышленники могут попытаться использовать временное окно между выпуском патча и его установкой у всех пользователей.
Помимо исправления внешне обнаруженных уязвимостей, Google также внедрил дополнительные улучшения, выявленные в ходе внутренних аудитов безопасности. Компания использует передовые инструменты для поиска потенциальных угроз, такие как AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer и AFL. Эти технологии помогают находить и устранять уязвимости до того, как они смогут быть использованы злоумышленниками.
Обновление Chrome можно проверить вручную, перейдя в раздел «Настройки» → «Справка» → «О браузере Google Chrome». Если доступна новая версия, браузер автоматически загрузит и установит ее после перезапуска. Промедление с обновлением может привести к серьезным последствиям, особенно для тех, кто активно пользуется онлайн-банкингом, хранит конфиденциальные данные или работает с корпоративными системами.
В условиях роста киберугроз своевременное обновление программного обеспечения становится критически важным элементом защиты. Google, как и другие технологические гиганты, продолжает инвестировать в развитие инструментов безопасности, но ответственность за защиту устройств лежит и на самих пользователях. Внедрение привычки регулярно проверять и устанавливать обновления - один из самых простых и эффективных способов снизить риски кибератак.
