В открытый доступ выложен proof-of-concept эксплойт для критической уязвимости нулевого дня в Google Chrome, что произошло менее чем через три месяца после первоначального раскрытия информации о ней. Это событие совпало с сообщениями об активной эксплуатации уязвимости в реальных атаках. Уязвимость, получившая идентификатор CVE-2025-5419, связана с ошибками чтения и записи за пределами выделенной памяти (out-of-bounds read/write) в движке V8, обрабатывающем JavaScript в браузере. Она затрагивает версии Chrome ранее 137.0.7151.68 и позволяет злоумышленникам инициировать атаки на кучу (heap corruption) через специально созданные HTML-страницы.
PoC-эксплойт для Chrome 0-Day
Первые сведения о CVE-2025-5419 появились в начале июня, когда Национальная база данных уязвимостей (NVD) опубликовала детали 3 июня, а GitHub Advisory Database продублировала advisory в тот же день. Команда безопасности Chrome присвоила уязвимости высокий уровень серьёзности в рамках внутренней классификации Chromium. 24 июня Google выпустил промежуточное стабильное обновление, однако точные версии, содержащие исправление, не были названы, как не был обнародован и официальный график включения патча в публичные сборки браузера.
По системе оценки CVSS v3.1 уязвимость получила базовый балл 7,5 из 10. Вектор атаки является сетевым, не требующим привилегий со стороны злоумышленника, однако необходимо определённое взаимодействие с пользователем - обычно это посещение жертвой вредоносной веб-страницы. Низкая сложность эксплуатации и отсутствие необходимости в privileges делают CVE-2025-5419 особенно привлекательной для киберпреступников. Успешная атака может привести к полному компрометированию процесса браузера, ставя под угрозу конфиденциальность, целостность и доступность пользовательских данных.
Документация на GitHub указывает, что уязвимость затрагивает два конкретных пункта из перечня распространённых уязвимостей: CWE-125 (out-of-bounds read) и CWE-787 (out-of-bounds write). Оба типа ошибок способствуют повреждению кучи, что в конечном счёте может быть использовано для выполнения произвольного кода в контексте процесса Chrome. Это открывает возможности для эскалации привилегий на операционной системе или внедрения механизмов persistence.
Ситуация обострилась, когда компания MistyMntNCop, занимающаяся киберразведкой, опубликовала на GitHub рабочий PoC-эксплойт вместе с пошаговыми инструкциями по triggering уязвимости. Эксплойт демонстрирует, как незначительные модификации безобидной HTML-страницы могут вызвать паттерны повреждения памяти в V8, что в конечном итоге приводит к arbitrary code execution. Публичная доступность PoC означает, что любой заинтересованный актор может воспроизвести, адаптировать и weaponize уязвимость для своих целей.
Центр реагирования на угрозы безопасности Microsoft (MSRC) также включил CVE-2025-5419 в свой гид по уязвимостям, предупредив корпоративных администраторов о том, что Windows-устройства с Chrome остаются под угрозой до полного применения патча. Несмотря на публикацию советов по mitigation, официального обходного пути не существует, кроме отключения JavaScript или использования усиленных sandbox-флагов в Chrome, что значительно ухудшает функциональность браузера.
Google до сих пор не указал точную версию с исправлением, из-за чего организации вынуждены самостоятельно определять, защищены ли их среды. Администраторам рекомендуется как можно скорее развернуть обновления Chrome, как только те станут доступны, мониторить сетевой трафик на предмет аномальных HTML-полезных нагрузок и рассмотреть возможность использования решений browser isolation для снижения рисков.
До тех пор, пока официальная версия с патчем не будет задокументирована, основными мерами защиты против этой опасной уязвимости нулевого дня остаются повышенная бдительность и оперативное реагирование на инциденты.
Ссылки
- https://github.com/mistymntncop/CVE-2025-5419/tree/main
- https://www.cve.org/CVERecord?id=CVE-2025-5419
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-5419
