Google выпустил обновление безопасности для браузера Chrome, устраняющее шесть уязвимостей, одна из которых уже активно использовалась злоумышленниками для обхода механизма песочницы.
Данная уязвимость получила идентификатор CVE-2025-6558 и критический рейтинг опасности (оценка 8.8 из 10). Она была обнаружена специалистами из группы Google Threat Analysis Group (TAG) 23 июня 2025 года.
Проблема связана с недостаточной проверкой недоверенных данных в компонентах ANGLE и GPU и затрагивает версии Chrome до 138.0.7204.157. Успешная эксплуатация позволяет злоумышленнику выполнить выход из песочницы с помощью специально сформированной HTML-страницы.
ANGLE (Almost Native Graphics Layer Engine) — это движок абстракции графики с открытым исходным кодом, используемый Chrome для преобразования вызовов OpenGL ES в Direct3D, Metal, Vulkan и OpenGL. Поскольку ANGLE обрабатывает команды GPU от недоверенных источников, например, через WebGL, уязвимости в этом компоненте могут быть критически опасны.
Уязвимость позволяет удаленному атакующему выполнить произвольный код в процессе GPU браузера. Технические детали, позволяющие воспроизвести уязвимость, Google пока не раскрывает. Компания сообщает лишь следующее:
Доступ к информации о баге и ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не получат обновление.
Мы также можем сохранять ограничения, если проблема затрагивает стороннюю библиотеку, которая используется в других проектах и еще не была исправлена.
Компонент песочницы в Chrome изолирует процессы браузера от операционной системы, не давая вредоносному ПО распространяться за пределы браузера и заражать устройство.
В связи с высокой критичностью и активной эксплуатацией CVE-2025-6558, пользователям Chrome настоятельно рекомендуется обновиться до версии 138.0.7204.157 или 138.0.7204.158, в зависимости от ОС. Для этого перейдите в chrome://settings/help и дождитесь завершения проверки обновлений. После этого перезапустите браузер.
Вы также можете скачать актуальную версию браузера на нашем сайте:
Текущее обновление безопасности для Chrome включает исправления еще пяти уязвимостей, включая опасную уязвимость в движке V8 с идентификатором CVE-2025-7656 и проблему типа use-after-free в WebRTC, отслеживаемую как CVE-2025-7657. Ни одна из этих пяти уязвимостей не была отмечена как активно эксплуатируемая.
CVE-2025-6558 стала пятой уязвимостью нулевого дня, обнаруженной и устраненной в браузере Chrome с начала года.
В марте Google устранил критическую уязвимость обхода песочницы CVE-2025-2783, обнаруженную исследователями «Лаборатория Касперского». Эту уязвимость использовали в целевых шпионских атаках против российских государственных учреждений и медиа для доставки вредоносного ПО.
Два месяца спустя, в мае, Google выпустил очередное обновление, закрыв CVE-2025-4664 — уязвимость нулевого дня, позволяющую захватывать учетные записи пользователей.
В июне компания устранила еще одну серьезную проблему — CVE-2025-5419, ошибку чтения/записи за пределами допустимой области в движке JavaScript V8, о которой сообщили исследователи из Google TAG.
Ранее в июле Google исправил четвертую уязвимость нулевого дня в Chrome — CVE-2025-6554, также связанную с движком V8 и обнаруженную исследователями GTAG.
Обновления программ, что нового
• «Моя волна» от Яндекс Музыки теперь подстраивается под темп бега
• Google устранил активно эксплуатируемую уязвимость нулевого дня в Chrome, позволявшую выйти из песочницы
• В ChatGPT появилась функция стилей для генерации изображений
• В Госдуме предложили ввести штрафы за доступ к экстремистским материалам через VPN
• Samsung увеличит охват устройств с Galaxy AI до 400 миллионов в 2025 году
• Обновления безопасности VMware Workstation Pro 17.6.4, Fusion 13.6.4 и VMware Tools 13.0.1: Устранены критические уязвимости