Хакеры нашли лазейку в Chrome — можно сбежать из песочницы через сайт

Компания Google выпустила обновления для браузера Chrome, устраняющие шесть уязвимостей, включая одну особо опасную — CVE-2025-6558, которой уже воспользовались злоумышленники. Проблема с оценкой 8,8 балла по CVSS позволяет атакующим покинуть песочницу браузера через специально подготовленную страницу — достаточно лишь зайти на вредоносный сайт.

Уязвимость кроется в компонентах ANGLE и GPU, ответственных за графику. ANGLE — это прослойка, преобразующая команды OpenGL ES в другие графические API, и она часто взаимодействует с недоверенным контентом, например WebGL-сайтами. Недостаточная проверка входных данных открывает возможность злоумышленникам выполнять опасные действия за пределами изолированной среды браузера.

В Google подтвердили наличие рабочего эксплоита, но не раскрывают подробности инцидента. Известно лишь, что уязвимость выявили эксперты из команды Google TAG — подразделения, которое занимается продвинутыми угрозами и правительственными хакерами. Это косвенно указывает на использование бага в APT-атаках против узкого круга целей.

Пользователям настоятельно рекомендуется обновиться до Chrome версии 138.0.7204.157 или .158. В числе других закрытых багов — уязвимости в движке V8 и модуле WebRTC, которые также могли использоваться для атак. В этот раз Google не просто исправляет ошибки — она закрывает реально эксплуатируемые лазейки, которые ставили под угрозу пользователей по всему миру.