0day в Chrome: взлом без предупреждения

Google выпустила срочное обновление для Chrome, закрыв три уязвимости, одна из которых уже активно эксплуатируется. Наиболее критичной признана уязвимость CVE-2025-5419 (CVSS: 8.8), связанная с ошибкой в обработке памяти движком V8, который отвечает за выполнение JavaScript и WebAssembly. Согласно данным NVD, атакующий может спровоцировать повреждение кучи через специально созданную HTML-страницу, что приводит к чтению и записи за пределами разрешённых областей памяти. Это создаёт риск выполнения произвольного кода на устройстве пользователя.

Уязвимость была обнаружена 27 мая 2025 года экспертами Google Threat Analysis Group (TAG), а уже 28 мая исправление добавили в стабильную версию Chrome для всех платформ. Как обычно, детали атаки не раскрываются, чтобы предотвратить массовое использование эксплойта до установки обновления. Однако Google подтвердила, что уязвимость CVE-2025-5419 уже применяется в реальных атаках.

Это вторая zero-day-уязвимость в 2025 году, которую Google устраняет из-за активной эксплуатации. Первой была CVE-2025-2783, закрытая после обнаружения её в хакерских атаках специалистами «Лаборатории Касперского». Обе представляют серьёзную угрозу, позволяя злоумышленникам незаметно проникать в системы через веб-страницы.

Рекомендации для пользователей:

• Обновить Chrome до версий 137.0.7151.68/.69 (Windows/macOS) или 137.0.7151.68 (Linux).
• Установить последние версии других браузеров на базе Chromium: Microsoft Edge, Brave, Opera, Vivaldi.
• Разработчикам следует как можно быстрее внедрить обновлённые компоненты в свои проекты.