Что известно о новой угрозе и как от нее защититься?
Компания Google подтвердила существование новой серьезной уязвимости в своем браузере, которая получила идентификатор CVE-2025-13223. Проблема заключается в компоненте V8, который является двигателем JavaScript, и классифицируется как "путаница типов". Специалисты отмечают, что эта ошибка в коде уже активно эксплуатируется хакерами в реальных условиях, что и стало причиной для экстренного выпуска обновления, пишет 24 Канал со ссылкой на Bleeping Computer.
Смотрите также Российские хакеры ведут против Украины одну из самых жестких хакерских атак
Угрозу обнаружил Клеман Лесин, исследователь из Google Threat Analysis Group (TAG) – специального подразделения, занимающегося анализом киберугроз. Эта команда часто обнаруживает атаки, организованные правительственными хакерскими группами, которые охотятся на журналистов, политических оппозиционеров и диссидентов. Хотя Google не раскрывает деталей о том, кто именно стоит за текущими атаками, сам факт использования уязвимости свидетельствует о высоком уровне опасности.
Для защиты пользователей компания выпустила обновленные версии браузера:
- 142.0.7444.175/.176 для Windows.
- 142.0.7444.176 для macOS.
- 142.0.7444.175 для Linux.
Как проверить свою версию Chrome?
Развертывание обновления будет происходить постепенно в течение ближайших недель, но его уже можно установить вручную. Чтобы проверить наличие патча, нажмите кнопку меню (три точки на панели), затем выберите "Справка" и "О Google Chrome". Дождитесь завершения проверки наличия обновлений. Если они есть и еще не установлены, нажмите соответствующую кнопку. Браузер загрузит обновление, после чего его нужно будет перезапустить его.
Количество уязвимостей растет
Google придерживается политики ограниченного доступа к техническим подробностям и ссылок, связанных с уязвимостью, пока большинство пользователей не установит исправления. Это делается для того, чтобы не давать злоумышленникам дополнительной информации для создания новых атак. Однако общие данные уже доступны на специальной странице Chrome Releases.
Интересно, что это уже седьмая уязвимость нулевого дня в Chrome, которую Google пришлось исправлять в 2025 году. Предыдущие похожие инциденты случались в марте, мае, июне, июле и сентябре.
- Например, в сентябре и июле было исправлено две уязвимости (CVE-2025-10585 и CVE-2025-6558), которые также обнаружила команда Google TAG.
- В мае экстренное обновление касалось проблемы CVE-2025-4664, что позволяла захватывать учетные записи.
- В июне устраняли ошибки в движке V8 (CVE-2025-5419).
Для сравнения, за весь 2024 год Google устранила десять уязвимостей нулевого дня, которые были продемонстрированы на хакерских соревнованиях или использовались в атаках.
Смотрите также Самые опасные хакеры Северной Кореи атаковали европейские оборонные компании
Что такое уязвимость нулевого дня?
Уязвимость нулевого дня (Zero-day или 0-day) – это недостаток в безопасности программного или аппаратного обеспечения, который до сих пор был неизвестен разработчикам и против которого еще не существует защитных механизмов. Термин "нулевой день" означает, что у разработчиков было ноль дней на исправление дефекта до того, как о нем стало известно публично.
Из этого термина происходит еще один, "атака нулевого дня". Это кибератака, реализуемая с помощью эксплойта нулевого дня. Целью такой атаки может быть установка вредоносного программного обеспечения, похищение конфиденциальных данных или получение несанкционированного доступа к системе.
Уязвимости нулевого дня являются одной из самых серьезных угроз в кибербезопасности, поскольку они застают врасплох и их трудно обнаружить. В отличие от известных угроз, для которых уже существуют методы защиты, атаки нулевого дня используют неожиданность, что дает злоумышленникам значительное преимущество.