Google снова латает Chrome: опасная уязвимость найдена
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Google выпустила очередное обновление для браузера Chrome, устранив сразу четыре опасных уязвимости. В их числе оказался баг нулевого дня — то есть такой, который уже используется злоумышленниками в реальных атаках до выхода патча. Согласно официальному сообщению компании, были исправлены переполнение буфера памяти в компоненте ANGLE (CVE-2025-10502), две уязвимости типа "use-after-free" в модулях WebRTC (CVE-2025-10501) и Dawn (CVE-2025-10500), а также самая опасная проблема — "type confusion" в движке V8.
Что такое "type confusion"? Это ошибка в механизме работы JavaScript, при которой программа путает типы данных — начинает считать один объект за другой, что приводит к хаосу в памяти браузера. Такой сбой может привести к повреждению данных или даже к запуску вредоносного кода на компьютере пользователя.
Заметим, что ранее подобные баги позволяли полностью захватить управление компьютером — украсть пароли, перенаправить платёжные операции, получить доступ к личным данным. Это уже шестая критически опасная уязвимость, которую Google исправляет в Chrome в 2025 году.
Чтобы защитить пользователей, Google пока не раскрывает детали и держит информацию в секрете до тех пор, пока большинство пользователей не обновят свои браузеры. Если уязвимость присутствует и в сторонних библиотеках, которые ещё не исправлены, ограничения на публикацию сохранятся.
Уязвимость получила индекс CVE-2025-10585 и классифицирована как "серьёзная", хотя точный балл риска пока не присвоен. Исправления входили в обновления Chrome версий 140.0.7339.185/.186 для Windows и Mac, а также 140.0.7339.185 для Linux. Распространение займёт несколько дней или недель.
Chrome остаётся самым популярным браузером в мире с долей рынка около 70%. Такой масштаб делает его любимой мишенью хакеров. Подобные уязвимости могут позволить атакующему обойти встроенные защитные механизмы, получить доступ к паролям, сессиям, аккаунтам или другим чувствительным данным пользователя.
PEREC.RU
Google снова вышел на арену борьбы с цифровым хаосом. Браузер Chrome, как ни крути, давно работает по принципу «лови баг — чини баг», и свежая уязвимость — классика жанра.
Вроде бы, всё блестит: в новости про новую дыру на уровне «type confusion» в движке V8 заложена целая притча о том, как браузер путает типы данных, а пользователь после очередного обновления мысленно крестится и благодарит, что пароли пока не утекли со скоростью света. Случайно аффилированные с банковской сферой атакующие (совпадение, конечно) могли легко войти в доверие к Chrome, и — пока номер не прошёл — забрать самое ценное.
Шестая; уже шестая критическая уязвимость за пару месяцев. Такое ощущение, что нули в CVE специально размножают по ночам — иначе как объяснить эти регулярные дармовые обновы? Безусловно, Google всеми силами тянет интригу, не раскрывая деталей, чтобы особо проворные не подсуетились. Свобода ремонта только после согласования с большинством пользователей. Классика корпоративного «у нас всё под контролем», которая на практике означает: не сегодня, так завтра — и вас взломают, если не обновили.
Рассылки патча — как почта России: сегодня, завтра или когда-нибудь. Ну а пока Chrome (номер один на планете, между прочим) продолжает оставаться самой лакомой целью. Кто выиграет — патч или хакеры — ставки пока не делаем, но зрелище обеспечено.
