Google выпустил экстренное обновление для браузера Chrome, закрывающее критическую уязвимость нулевого дня, которую уже активно используют злоумышленники. Уязвимость, получившая идентификатор CVE-2025-6554, связана с ошибкой типа в движке V8, обрабатывающем JavaScript-код на платформах Windows, macOS и Linux.
Ошибка была обнаружена специалистом Google из группы Threat Analysis Group (TAG) Клеманом Лесиньем 25 июня 2025 года. Компания подтвердила, что киберпреступники уже разработали эксплойт и используют его в реальных атаках. Уязвимость позволяет злоумышленникам выполнять произвольные операции чтения и записи в памяти браузера, что может привести к исполнению вредоносного кода и полному захвату контроля над системой.
Проблема типа "type confusion" возникает, когда движок V8 некорректно интерпретирует тип данных в памяти. В результате злоумышленник может манипулировать памятью браузера, обходя защитные механизмы и внедряя вредоносный код. В Google подчеркивают, что такие уязвимости особенно ценны для государственных хакерских групп и киберпреступников, поскольку позволяют проводить атаки без ведома пользователя - например, через заражённые сайты.
Для защиты пользователей Google выпустил патчи в версиях Chrome 138.0.7204.96 и 138.0.7204.97 для Windows, 138.0.7204.92 и 138.0.7204.93 для macOS, а также 138.0.7204.96 для Linux. Обновление распространяется автоматически, но компания рекомендует проверить его наличие вручную. Для этого необходимо открыть меню браузера, перейти в раздел "Справка" -> "О браузере Google Chrome". Если обновление доступно, оно будет загружено и установлено после перезапуска браузера.
Google ограничил доступ к деталям уязвимости до тех пор, пока большинство пользователей не установят патч. Это стандартная практика, направленная на снижение риска массовых атак. Однако сам факт активного использования эксплойта вызывает серьёзную озабоченность у экспертов по кибербезопасности.
Похожие уязвимости в движке V8 ранее использовались для организации drive-by-атак (когда заражение происходит автоматически при посещении вредоносного сайта), побега из песочницы (обхода изоляции процессов браузера) и скрытой установки шпионских программ. В данном случае атака также может происходить незаметно для жертвы, что делает её особенно опасной.
Группа TAG, изучающая действия государственных хакеров и APT-групп, продолжает мониторинг ситуации. Google призывает пользователей не откладывать обновление, поскольку задержка может привести к компрометации данных и устройств.
Это уже не первый случай, когда злоумышленники атакуют через уязвимости в популярных браузерах. Chrome, будучи самым распространённым браузером в мире, остаётся одной из главных целей для хакеров. Google активно инвестирует в улучшение безопасности, включая автоматическое обновление и усиление песочницы, однако уязвимости нулевого дня остаются серьёзной угрозой.
Эксперты рекомендуют не только установить последнюю версию Chrome, но и использовать дополнительные меры защиты: включать двухфакторную аутентификацию, избегать подозрительных ссылок и регулярно проверять систему на наличие вредоносных программ. В случае обнаружения необычной активности в браузере (например, замедления работы, неожиданных переадресаций или всплывающих окон) следует немедленно проверить устройство антивирусом.
Подобные инциденты напоминают о важности своевременного обновления ПО. В условиях, когда киберпреступники постоянно ищут новые способы атак, единственным надёжным способом защиты остаётся оперативное применение исправлений от разработчиков. На фоне роста сложности и масштабов кибератак подобные уязвимости могут стать началом цепочки более серьёзных нарушений безопасности, включая кражу конфиденциальных данных и корпоративный шпионаж.
В ближайшее время ожидается, что другие компании, чьи продукты зависят от движка V8, также могут выпустить обновления. Пользователям браузеров на базе Chromium (таких как Edge, Opera и Brave) стоит следить за новостями от своих разработчиков, поскольку уязвимость может затронуть и их. Однако пока Google не подтвердил, используется ли эксплойт в других браузерах.
Ситуация с CVE-2025-6554 в очередной раз показывает, что даже самые защищённые платформы не застрахованы от критических ошибок. Вопрос лишь в том, насколько быстро разработчики смогут их обнаружить и исправить до того, как хакеры нанесут реальный ущерб. Пока Google справляется с этой задачей оперативно, но риски остаются высокими.