Google исправила четвертую активно эксплуатируемую уязвимость нулевого дня Chrome в 2025 году

Google выпустила экстренные обновления для исправления еще одной уязвимости нулевого дня Chrome, использованной при атаках. Это уже четвертая подобная ошибка, исправленная с начала года.

«Google известно о существовании эксплойта для CVE-2025-6554», — заявил производитель браузера в бюллетене безопасности, опубликованном в понедельник. «Эта проблема была устранена 26 июня 2025 года благодаря изменению конфигурации, которое было внедрено в стабильную версию на всех платформах».

Компания устранила уязвимость нулевого дня для пользователей канала Stable Desktop, выпустив новые версии по всему миру для пользователей Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) и Linux (138.0.7204.96) через день после того, как о проблеме сообщили в Google.

Ошибка была обнаружена Клеманом Лесинем из группы анализа угроз Google (TAG) — коллектива исследователей безопасности, занимающихся защитой клиентов Google от спонсируемых государством и других подобных атак.

Google TAG часто обнаруживает эксплойты нулевого дня, используемые спонсируемыми правительством злоумышленниками в целевых атаках с целью заражения лиц из группы высокого риска, включая оппозиционных политиков, диссидентов и журналистов, шпионским ПО.

По данным Google, обновления безопасности, исправляющие уязвимость CVE-2025-6554, могут занять несколько дней или недель, но они были доступны немедленно, когда сегодня утром BleepingComputer проверил наличие обновлений.

Пользователи, которые предпочитают не обновляться вручную, могут также положиться на свой веб-браузер, который автоматически проверит наличие новых обновлений и установит их после следующего запуска.

Исправленная сегодня уязвимость нулевого дня представляет собой серьёзную ошибку путаницы типов в движке JavaScript Chrome V8. Хотя подобные уязвимости обычно приводят к сбоям в работе браузера после успешной эксплуатации путём чтения или записи памяти за пределами буфера, злоумышленники также могут использовать их для выполнения произвольного кода на устройствах без установленных исправлений.

Несмотря на то, что Google заявила, что эта уязвимость эксплуатировалась в реальных условиях, компания пока не поделилась техническими подробностями или дополнительной информацией об этих атаках.

«Доступ к сведениям об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление. Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой также зависят другие проекты, но которая ещё не исправлена», — заявили в Google.

Это уже четвертая активно эксплуатируемая уязвимость нулевого дня в Google Chrome, исправленная с начала года; еще три были исправлены в марте, мае и июне.

Первая — уязвимость высокой степени опасности, позволяющая выйти за рамки изолированной среды (CVE-2025-2783), о которой сообщили специалисты «Лаборатории Касперского» Борис Лариный и Игорь Кузнецов, — использовалась в шпионских атаках, направленных на российские правительственные организации и средства массовой информации с помощью вредоносного ПО.

В мае Google выпустила очередной набор экстренных обновлений безопасности для устранения уязвимости нулевого дня Chrome (CVE-2025-4664), которая позволяет злоумышленникам взламывать аккаунты . Месяц спустя компания устранила уязвимость чтения и записи за пределами выделенного буфера памяти в движке JavaScript V8 браузера Chrome, обнаруженную Бенуа Севенсом и Клеманом Лесинем из Google TAG.

В 2024 году Google устранила в общей сложности 10 уязвимостей нулевого дня , которые либо эксплуатировались при атаках, либо демонстрировались во время хакерских соревнований Pwn2Own.