Компания Google выпустила критическое обновление безопасности для браузера Chrome после обнаружения опасной уязвимости типа use-after-free, которая может позволить киберпреступникам выполнять вредоносный код на компьютерах жертв. Уязвимость, зарегистрированная как CVE-2025-11756, затрагивает функцию Safe Browsing в Chrome и получила от команды безопасности Google оценку серьезности "Высокая".
Детали уязвимости
Обнаруженная проблема безопасности представляет серьезную угрозу для пользователей Chrome по всему миру. Уязвимости use-after-free возникают, когда программа продолжает использовать память после ее освобождения, создавая возможность для злоумышленников манипулировать этим пространством памяти. В данном случае уязвимость существует в компоненте Safe Browsing, который предназначен для защиты пользователей от вредоносных веб-сайтов и загрузок.
Исследователь безопасности под псевдонимом "asnine" обнаружил и сообщил об этой уязвимости 25 сентября 2025 года, получив вознаграждение в размере 7000 долларов США по программе вознаграждений за ошибки Google. Компания признала вклад исследователя в улучшение безопасности Chrome для миллионов пользователей по всему миру.
При успешной эксплуатации эта уязвимость use-after-free может позволить злоумышленникам выполнять произвольный код в системе жертвы. Это означает, что киберпреступники могут потенциально устанавливать вредоносное программное обеспечение, красть конфиденциальную информацию или получать несанкционированный доступ к зараженному компьютеру. Особую озабоченность вызывает расположение уязвимости в функции Safe Browsing, поскольку этот компонент работает с повышенными привилегиями для защиты пользователей от интернет-угроз.
В ответ на эту критическую проблему безопасности Google оперативно выпустил версию Chrome 141.0.7390.107/.108 для систем Windows и Mac и версию 141.0.7390.107 для Linux. Обновление начало распространяться 14 октября 2025 года и достигнет всех пользователей в течение ближайших дней и недель.
Google реализовал свою стандартную политику раскрытия информации о безопасности, ограничивая доступ к подробной информации об ошибке до тех пор, пока большинство пользователей не установят исправление безопасности. Такой подход помогает предотвратить эксплуатацию уязвимости киберпреступниками до того, как пользователи смогут защититься с помощью обновленной версии браузера.
Команда безопасности компании использовала передовые инструменты обнаружения, включая AddressSanitizer, MemorySanitizer и другие технологии фаззинга, для выявления и предотвращения попадания аналогичных проблем безопасности в стабильные выпуски Chrome.
Пользователям Chrome следует немедленно обновить свои браузеры для защиты от этой серьезной уязвимости безопасности. Браузер обычно обновляется автоматически, но пользователи могут вручную проверить наличие обновлений, перейдя в раздел "Настройки" > "О браузере Chrome". Организации и отдельные пользователи, которые откладывают это обновление, остаются под значительным риском эксплуатации этой конкретной уязвимости киберпреступниками.
Этот инцидент безопасности подчеркивает постоянную важность поддержания обновленного программного обеспечения и ценную роль исследователей безопасности в выявлении потенциальных угроз до того, как они смогут нанести массовый ущерб. Система вознаграждений за ошибки Google продолжает демонстрировать свою эффективность в привлечении независимых исследователей для укрепления безопасности одного из самых популярных веб-браузеров в мире.
Эксперты по кибербезопасности отмечают, что расположение уязвимости в компоненте, предназначенном для защиты пользователей, представляет особую опасность, поскольку может подорвать доверие к основным механизмам безопасности браузера. Пользователям рекомендуется не только обновить браузер, но и проявлять особую бдительность при посещении веб-сайтов и загрузке файлов до тех пор, пока обновление не будет полностью установлено.
Текущая ситуация также служит напоминанием о важности программ вознаграждений за ошибки как эффективного механизма сотрудничества между технологическими компаниями и сообществом безопасности. Благодаря таким программам потенциально опасные уязвимости выявляются и устраняются до их массовой эксплуатации, что в конечном итоге защищает всех пользователей интернет-сервисов.
