Google выпустил экстренные обновления безопасности для устранения уязвимости нулевого дня в браузере Chrome. Это уже шестая подобная проблема, о которой сообщается как об эксплуатируемой в атаках с начала 2025 года.
Компания предупредила, что для нее существует публичный эксплойт, а это признак активной эксплуатации этой уязвимость в реальных атаках.
В бюллетени безопасности сообщается:
Google известно о существовании эксплойта для CVE-2025-10585.
Эта уязвимость высокой степени опасности вызвана ошибкой несоответствия типов в JavaScript-движке V8 браузера Chrome. О ней сообщили специалисты Google Threat Analysis Group (TAG).
Группа TAG регулярно выявляет уязвимости нулевого дня, которые используются государственными хакерами в рамках шпионских кампаний против людей из группы повышенного риска: оппозиционных политиков, диссидентов, журналистов и других.
Также вчера пресс-служба «Яндекса» сообщила:
Специалист Яндекса обнаружил опасную уязвимость в движке V8, используемом в Chrome, Edge и других браузерах на базе Chromium. Ошибка была устранена совместно с Google, а Яндекс Браузер уязвимости не подвергался
Google устранила проблему всего за один день, выпустив обновления Chrome 140.0.7339.185/.186 для Windows и macOS и 140.0.7339.185 для Linux. Эти версии в ближайшие недели поступят в стабильный канал Chrome для настольных систем.
Хотя Chrome автоматически обновляется при выходе новых исправлений безопасности, пользователи могут ускорить процесс вручную. Для этого нужно открыть меню Chrome > Справка > О браузере Google Chrome, дождаться завершения загрузки обновления и нажать кнопку Перезапустить.
Компания подтвердила, что уязвимость CVE-2025-10585 уже использовалась в атаках, однако дополнительные детали эксплуатации пока не раскрываются.
Google поясняет:
Доступ к подробностям об уязвимости и связанным ссылкам может оставаться ограниченным, пока большинство пользователей не обновятся до исправленной версии. Мы также сохраним ограничения, если баг присутствует в сторонней библиотеке, от которой зависят другие проекты, где проблема еще не устранена.
Это уже шестая уязвимость нулевого дня в Chrome, активно эксплуатируемая хакерами и исправленная Google в 2025 году. Пять предыдущих были закрыты в марте, мае, июне и июле.
В июле компания устранила уязвимость CVE-2025-6558, также выявленную исследователями Google TAG. Она позволяла злоумышленникам обходить защиту песочницы Chrome.
В мае Google выпустила внеплановые обновления для закрытия CVE-2025-4664 — уязвимости, позволяющей захватывать аккаунты пользователей. В июне была исправлена ошибка чтения/записи за пределами выделенной памяти (CVE-2025-5419) в движке V8.
В марте компания устранила еще одну критическую уязвимость обхода песочницы (CVE-2025-2783), о которой сообщили специалисты «Лаборатории Касперского». Она применялась в кибершпионаже против российских государственных организаций и СМИ.
В 2024 году Google закрыла еще десять уязвимостей нулевого дня, которые либо демонстрировались на хакерских соревнованиях Pwn2Own, либо активно использовались злоумышленниками.
Угрозы безопасности
• Google предупреждает: ИИ-вредоносы обходят антивирусы, создают дипфейки и автоматизируют фишинговые атаки
• CISA: уязвимость в Linux используется в атаках с вымогательским ПО
• Новая волна атак: инфостилер RedTiger нацелился на пользователей Discord
• TP-Link предупреждает о критической уязвимости внедрения команд в шлюзах Omada
• Сайт Xubuntu взломали: вместо установочного файла распространялся вирус для Windows
• Хакеры заявляют об утечке данных 5,5 миллиона пользователей Discord. Компания подтверждает компрометацию 70 000 аккаунтов