Google выпустил экстренные обновления безопасности для устранения уязвимости нулевого дня в браузере Chrome. Это уже шестая подобная проблема, о которой сообщается как об эксплуатируемой в атаках с начала 2025 года.
Компания предупредила, что для нее существует публичный эксплойт, а это признак активной эксплуатации этой уязвимость в реальных атаках.
В бюллетени безопасности сообщается:
Google известно о существовании эксплойта для CVE-2025-10585.
Эта уязвимость высокой степени опасности вызвана ошибкой несоответствия типов в JavaScript-движке V8 браузера Chrome. О ней сообщили специалисты Google Threat Analysis Group (TAG).
Группа TAG регулярно выявляет уязвимости нулевого дня, которые используются государственными хакерами в рамках шпионских кампаний против людей из группы повышенного риска: оппозиционных политиков, диссидентов, журналистов и других.
Также вчера пресс-служба «Яндекса» сообщила:
Специалист Яндекса обнаружил опасную уязвимость в движке V8, используемом в Chrome, Edge и других браузерах на базе Chromium. Ошибка была устранена совместно с Google, а Яндекс Браузер уязвимости не подвергался
Google устранила проблему всего за один день, выпустив обновления Chrome 140.0.7339.185/.186 для Windows и macOS и 140.0.7339.185 для Linux. Эти версии в ближайшие недели поступят в стабильный канал Chrome для настольных систем.
Хотя Chrome автоматически обновляется при выходе новых исправлений безопасности, пользователи могут ускорить процесс вручную. Для этого нужно открыть меню Chrome > Справка > О браузере Google Chrome, дождаться завершения загрузки обновления и нажать кнопку Перезапустить.
Компания подтвердила, что уязвимость CVE-2025-10585 уже использовалась в атаках, однако дополнительные детали эксплуатации пока не раскрываются.
Google поясняет:
Доступ к подробностям об уязвимости и связанным ссылкам может оставаться ограниченным, пока большинство пользователей не обновятся до исправленной версии. Мы также сохраним ограничения, если баг присутствует в сторонней библиотеке, от которой зависят другие проекты, где проблема еще не устранена.
Это уже шестая уязвимость нулевого дня в Chrome, активно эксплуатируемая хакерами и исправленная Google в 2025 году. Пять предыдущих были закрыты в марте, мае, июне и июле.
В июле компания устранила уязвимость CVE-2025-6558, также выявленную исследователями Google TAG. Она позволяла злоумышленникам обходить защиту песочницы Chrome.
В мае Google выпустила внеплановые обновления для закрытия CVE-2025-4664 — уязвимости, позволяющей захватывать аккаунты пользователей. В июне была исправлена ошибка чтения/записи за пределами выделенной памяти (CVE-2025-5419) в движке V8.
В марте компания устранила еще одну критическую уязвимость обхода песочницы (CVE-2025-2783), о которой сообщили специалисты «Лаборатории Касперского». Она применялась в кибершпионаже против российских государственных организаций и СМИ.
В 2024 году Google закрыла еще десять уязвимостей нулевого дня, которые либо демонстрировались на хакерских соревнованиях Pwn2Own, либо активно использовались злоумышленниками.
Угрозы безопасности
• Google исправил шестую по счету активно эксплуатируемую уязвимость «нулевого дня» в Chrome в этом году
• В Google Play были удалены 224 вредоносных приложения для Android из-за рекламного мошенничества
• Яндекс помог устранить уязвимость в движке V8 для браузеров на Chromium
• Apple выпустила исправления уязвимости «нулевого дня» для старых iPhone и iPad
• Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot
• В даркнете растёт рынок аренды аккаунтов мессенжера Max