В экстренном порядке выпущены патчи для двух брешей в безопасности Google Chrome, причём одна из них уже активно применяется злоумышленниками в реальных атаках. Это седьмая по счёту уязвимость нулевого дня, обнаруженная в браузере с начала текущего года.
Компания Google распространила внеочередные обновления для Chrome, направленные на закрытие двух уязвимостей, и подтвердила, что как минимум одна из них уже используется киберпреступниками.
Первая из них, получившая идентификатор CVE-2025-13223 (оценка CVSS: 8,8 из 10), представляет собой ошибку типа "type confusion". Было установлено, что движок V8, обрабатывающий JavaScript и WebAssembly, в определённых условиях мог некорректно интерпретировать типы данных. Эта уязвимость позволяла злоумышленникам инициировать повреждение кучи и в конечном итоге выполнять произвольный код в среде браузера. Для успешной атаки требовалось завлечь пользователя на специально подготовленную веб-страницу.
«Оценка в 8,8 балла по шкале CVSS фактически соответствует критическому уровню серьёзности, — комментирует Михаил Зайцев, специалист по кибербезопасности компании SEQ. — Учитывая доминирующую долю Chrome на рынке и тот факт, что на его движке Chromium работают многие другие браузеры, потенциальные последствия сложно преувеличить. Заплатка уже доступна, и если есть возможность обновиться немедленно, это следует сделать».
Данная ошибка присутствовала во всех сборках V8 вплоть до версии 142.0.7444.175.
Уязвимость была выявлена экспертом группы анализа угроз Google Клеманом Лесинем (Clément Lecigne).
В Google пока лишь подтвердили факт активного использования уязвимости в дикой природе и существование работающего эксплойта. Подробности о возможных целях атак, их масштабе или причастных к ним группах раскрыты не были.
Это уже седьмая с января уязвимость нулевого дня в Chrome, которая либо эксплуатировалась до выпуска исправлений, либо для которой существовали публичные доказательства концепции до выхода патчей.
Вторая проблема, зарегистрированная как CVE-2025-13224, относится к аналогичному типу "type confusion". Она была обнаружена автоматизированной системой безопасности Google под названием Big Sleep.
Безопасными считаются версии 142.0.7444.175/176 для Windows, 142.0.7444.176 для macOS и 142.0.7444.175 для Linux.
Ожидается, что обновления вскоре выпустят и другие браузеры на базе Chromium, такие как Edge, Brave, Opera и Vivaldi. Пока же их следует считать потенциально подверженными данным уязвимостям и соблюдать повышенную осторожность при сёрфинге в интернете.
