НаверхGoogle закрыла дыру нулевого дня в Chrome: админы зашиваются от работы
Новая уязвимость нулевого дня в Chrome ушла в прошлое. Администраторы получают дополнительные задачи, а пользователи могут вздохнуть спокойно.
Основные идеи
Мнение автора
Уязвимости нулевого дня в движке V8 снова напоминают, что экосистема Chromium живёт в режиме постоянной боевой готовности. Такие дыры опасны тем, что пробивают защиту там, где её считают непробиваемой, и это всегда бьёт по нервам администраторов. Особенно тревожно, что один баг цепляет сразу весь «улей» браузеров и приложений на общей основе. И самое неприятное — патчи выходят быстро, но атаки успевают навредить ещё быстрее.
Уязвимости движка JavaScript V8 продолжают быть лакомым кусочком для злоумышленников, и самым популярным браузером в мире интересуются особенно активно.
В третий раз за последние месяцы Google сталкивается с необходимостью срочно исправлять потенциально серьёзную уязвимость нулевого дня в движке V8 браузера Chrome. Проблема, зарегистрированная как CVE-2025-13223, была устранена в понедельник экстренным «внеочередным» патчем и обнаружена внутренней группой анализа угроз (TAG) Google. На каком-то этапе компания даже нашла признаки того, что уязвимость с высоким рейтингом CVSS 8,8 использовалась злоумышленниками в реальном мире.
Google не приводит подробностей об открытии, чтобы не давать подсказок другим хакерским группам. Компания лишь коротко сообщает, что ей известно о существовании эксплойта для CVE-2025-13223.
Путаница типов
Описание уязвимости оказалось кратким. В нем упоминают ошибку «смешение типов», которая затрагивает движок JavaScript V8. Это ключевой элемент Chrome и других браузеров на базе Chromium, включая Microsoft Edge, Brave и Opera.
Последний пункт важен, так как браузеры Chromium с большим отрывом лидируют на потребительском и корпоративном рынках. Неудивительно, что Google добавила в последнее предупреждение шаблонное заявление.
Доступ к информации об ошибке и ссылкам могут ограничить до тех пор, пока большинство пользователей не получат исправление. Ограничения сохранят, если ошибка существует в сторонней библиотеке, от которой зависят другие проекты, но исправление для нее еще не выпустили.
В случае сторонних приложений процесс может занять некоторое время. Поэтому не стоит ждать более подробного объяснения CVE-2025-13223.
Google представила движок V8 в 2008 году для ускорения JavaScript. Эта технология написания скриптов на языке C++ лежит в основе современных веб-сервисов. «Путаница типов» представляет собой класс уязвимостей. В компонентах на языке C они могут привести к повреждению памяти, доступу за пределы выделенного буфера и в худшем случае к выполнению кода.
Это повышает вероятность эксплуатации уязвимости CVE-2025-13223 без взаимодействия с пользователем. Жертву достаточно заманить на зараженный сайт. В рекомендациях Google об этом не говорят, а в базе NVD указывают лишь на путаницу типов в V8 в Google Chrome до версии 142.0.7444.175. Это позволяет удаленному злоумышленнику использовать повреждение кучи с помощью специально созданной HTML-страницы. Многие уязвимости движка V8 делают такую атаку возможной, поэтому администраторам безопасности следует учитывать риск и установить исправления для Chrome.
Обновление предприятия
Последнее обновление также устраняет отдельную уязвимость типа «смешение типов» в движке V8 — CVE-2025-13224. Она имеет высокий приоритет, но пока нет признаков ее активной эксплуатации.
Корпоративные клиенты могут устранить обе уязвимости через обновление Chrome. Для Windows актуальна версия 142.0.7444.175/.176, для Mac — 142.0.7444.176, а для Linux — 142.0.7444.175.
Обычно предприятия выпускают обновления каждые восемь недель по расширенному стабильному каналу, что дает достаточно времени для тестирования. В отличие от этого исправления для уязвимостей нулевого дня обычно приходится устанавливать вручную в течение нескольких дней.
Технический директор компании Safetica по управлению рисками Збинек Сопух отмечает, что для корпоративных администраторов это серьезная проблема. Уязвимости нулевого дня означают напряженную борьбу за быстрое обновление и тестирование. Поскольку апдейты Chrome появляются часто и без предупреждения, у команд нет передышки.
Он добавляет, что общие компоненты увеличивают радиус поражения. Пока более широкое сообщество не выполнит организованные исправления, V8 останется одной из самых уязвимых целей.
По словам эксперта, злоумышленники всегда ищут способы атаковать V8, поскольку это позволяет им нацелиться на «весь улей». Администраторы не спят ночами из-за Chrome и неизвестного списка приложений, которые незаметно используют тот же движок.
В 2025 году в Chrome подтвердили еще два случая уязвимостей нулевого дня в движке V8, а в целом по браузеру их было семь. В июне в V8 обнаружили уязвимость CVE-2025-5419, а в сентябре — CVE-2025-10585. Семь уязвимостей нулевого дня кажутся большим количеством, но годовой показатель держится на этом уровне уже некоторое время.
