Разработчики Google выпустили экстренные патчи для устранения уязвимости нулевого дня в браузере Chrome. Сообщается, что 0-day уже использовалась в атаках.
Уязвимость получила идентификатор CVE-2025-6554, и в компании предупреждают, что для нее уже существует эксплоит (то есть проблему уже эксплуатируют хакеры). Ошибка была исправлена в десктопных версиях браузера для Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) и Linux (138.0.7204.96). Развертывание исправлений для CVE-2025-6554 для всех пользователей может занять несколько дней или недель.
Баг обнаружил специалист Google Threat Analysis Group (TAG) Клеман Лецинь (Clément Lecigne). Стоит отметить, что TAG специализируется на защите клиентов Google от активности «правительственных» хакеров, таргитированных атак и других продвинутых угроз. Из-за этого команда TAG нередко обнаруживает 0-day эксплоиты, используемые APT для целевых атак или заражения шпионским ПО устройств политиков, диссидентов и журналистов.
CVE-2025-6554 представляет собой уязвимость типа type confusion в JavaScript-движке V8. Обычно такие недостатки приводят к аварийному завершению работы браузера после успешной эксплуатации (которая осуществляется путем чтения или записи памяти за пределами буфера), однако также их можно использовать для выполнения произвольного кода на непропатченных устройствах.
Хотя в Google предупреждают об использовании этой уязвимости в реальных атаках, пока компания не предоставила никаких технических подробностей или дополнительной информации об этих инцидентах. В Google традиционно пишут, что «доступ к сведениям об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправления».
Эта уязвимость нулевого дня стала четвертой эксплуатируемой 0-day в Chrome, исправленной с начала 2025 года.
Уязвимость получила идентификатор CVE-2025-6554, и в компании предупреждают, что для нее уже существует эксплоит (то есть проблему уже эксплуатируют хакеры). Ошибка была исправлена в десктопных версиях браузера для Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) и Linux (138.0.7204.96). Развертывание исправлений для CVE-2025-6554 для всех пользователей может занять несколько дней или недель.
Баг обнаружил специалист Google Threat Analysis Group (TAG) Клеман Лецинь (Clément Lecigne). Стоит отметить, что TAG специализируется на защите клиентов Google от активности «правительственных» хакеров, таргитированных атак и других продвинутых угроз. Из-за этого команда TAG нередко обнаруживает 0-day эксплоиты, используемые APT для целевых атак или заражения шпионским ПО устройств политиков, диссидентов и журналистов.
CVE-2025-6554 представляет собой уязвимость типа type confusion в JavaScript-движке V8. Обычно такие недостатки приводят к аварийному завершению работы браузера после успешной эксплуатации (которая осуществляется путем чтения или записи памяти за пределами буфера), однако также их можно использовать для выполнения произвольного кода на непропатченных устройствах.
Хотя в Google предупреждают об использовании этой уязвимости в реальных атаках, пока компания не предоставила никаких технических подробностей или дополнительной информации об этих инцидентах. В Google традиционно пишут, что «доступ к сведениям об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправления».
Эта уязвимость нулевого дня стала четвертой эксплуатируемой 0-day в Chrome, исправленной с начала 2025 года.
