Компания устранила критическую уязвимость безопасности
в Google Chrome, которая активно эксплуатировалась.
Проблема, обозначенная как CVE-2025-6554, представляет
собой уязвимость, связанную с путаницей типов в движке Chrome V8 JavaScript и
WebAssembly.
Эта уязвимость позволяла злоумышленникам выполнять
произвольные операции чтения и записи, заманивая пользователей открывать
специально созданные веб-страницы. Google подтвердила, что уязвимость уже
эксплуатировалась в реальных условиях.
Команда Google Threat
Team обнаружила уязвимость
Об ошибке сообщил 25 июня Клеман Лесинь из группы
анализа угроз Google (TAG), команды, известной раскрытием сложных атак,
связанных с государственными субъектами.
По данным Национальной базы данных уязвимостей (NVD),
уязвимость затрагивает версии Chrome до 138.0.7204.96 и может позволить
злоумышленникам выполнить произвольный код или вызвать сбой программ.
На следующий день, 26 июня, Google развернула
изменение конфигурации в стабильной версии на всех платформах, снизив риск для
пользователей Windows (версии 138.0.7204.96/.97), macOS (138.0.7204.92/.93) и
Linux (138.0.7204.96).
Смешение типов:
уязвимость с высоким уровнем последствий
Ошибки путаницы типов могут иметь серьезные
последствия для безопасности. Когда программа неправильно предполагает тип
объекта, злоумышленники могут манипулировать программным обеспечением, чтобы
получить доступ к памяти за пределами границ. Это открывает двери для:
- Выполнение
произвольного кода
- Попутные
загрузки
- Установки
шпионского ПО
- Тихая
утечка данных
Участие TAG предполагает, что эксплойт мог быть частью
целевых кампаний против известных лиц, таких как журналисты, диссиденты или
политические оппоненты. Однако Google не раскрыла технические подробности или
не подтвердила, кто был целью, сославшись на защиту пользователей и
продолжающееся исправление в качестве причин сокрытия информации.
Рекомендуется срочное
обновление для Chrome и браузеров на базе Chromium
Хотя большинство пользователей получат исправление
автоматически, обновления можно запустить вручную, перейдя в «Настройки» >
«Справка» > «О Google Chrome».
Организации, управляющие несколькими конечными
точками, должны обеспечить соответствие исправлениям и активировать
автоматические обновления браузера для поддержания оптимальной безопасности.
Другие браузеры на базе Chromium, включая Microsoft
Edge, Brave, Opera и Vivaldi, также потенциально подвержены уязвимости и должны
быть обновлены после выпуска исправлений.
С CVE-2025-6554 Google уже устранила
четыре уязвимости нулевого дня в этом году. Эти ранние уязвимости включали
побеги из песочницы и уязвимости памяти за пределами границ, одна из которых
была связана со шпионскими кампаниями, нацеленными на российские учреждения.
Дополнительная
информация:
Coinbase
пострадала от утечки данных, подверглась вымогательству (но не заплатила)
"Почему
Kubernetes стал неотъемлемой частью современных IT-решений"
Samsung исправляет уязвимость
сервера MagicInfo 9, которой воспользовались злоумышленники
Фальшивые атаки: почему они опаснее,
чем кажутся
Как работают более 300 000 жёстких
дисков в реальных условиях
МЕТА ТЕГИ:
Google Chrome, уязвимость безопасности, CVE-2025-6554, Google V8, JavaScript,
WebAssembly, уязвимость нулевого дня, Google Threat Team, Клеман Лесинь,
Национальная база данных уязвимостей, NVD, произвольный код, путаница типов,
шпионское ПО, утечка данных, обновление браузера, Chromium, Microsoft Edge,
Brave, Opera, Vivaldi, песочница, шпионские кампании.
Комментариев нет:
Отправить комментарий