Google устранил четвёртую нулевую уязвимость в Chrome с начала 2025 года

Google выпустила экстренное обновление для браузера Chrome, закрывающее новую нулевую уязвимость, которую активно использовали злоумышленники. Проблема получила идентификатор CVE-2025-6554 и затрагивает движок V8 JavaScript, используемый в браузере. Компания сообщила, что эксплойт для этой уязвимости уже находится в обращении, поэтому исправление было срочно доставлено пользователям стабильного канала на всех платформах — Windows, Mac и Linux. Об этом пишет BleepingComputer.

Уязвимость представляет собой ошибку типа «type confusion», которая может привести к чтению или записи данных за пределами выделенной памяти, что даёт возможность выполнить произвольный код на устройстве. В обычных случаях это вызывает сбои в работе браузера, но при целенаправленной атаке позволяет полностью скомпрометировать систему. Баг был обнаружен экспертом Clément Lecigne из команды Google Threat Analysis Group (TAG), которая специализируется на защите пользователей Google от шпионских программ и атак, связанных с государственными структурами.

Хотя обновления уже доступны, Google предупредила, что их распространение до всех пользователей может занять несколько дней или даже недель. Для тех, кто не хочет проверять обновления вручную, браузер сам загрузит и установит их после следующего запуска. До завершения обновления большинства пользователей технические детали уязвимости и примеры эксплуатации не будут раскрыты, чтобы не дать хакерам дополнительную информацию.

Это уже четвёртая нулевая уязвимость в Chrome, исправленная в 2025 году: предыдущие баги устранялись в марте, мае и июне. Например, в мае была закрыта уязвимость, позволявшая захватывать аккаунты пользователей, а в июне — уязвимость в том же движке V8. В 2024 году Google закрыла 10 подобных уязвимостей, что подчеркивает актуальность и необходимость своевременных обновлений для защиты от современных атак.