Компанія усунула четверту вразливість нульового дня у 2025 році. Цього разу мова про небезпечну помилку типу Type Confusion у JavaScript-движку V8.
Компанія усунула четверту вразливість нульового дня у 2025 році. Цього разу мова про небезпечну помилку типу Type Confusion у JavaScript-движку V8.
Google терміново оновила браузер Chrome, щоб закрити критичну уразливість CVE-2025-6554, яку вже активно експлуатували зловмисники. Як пише Infosecurity Magazine, баг дозволяв виконання довільного коду після переходу користувача на спеціально підготовлену вебсторінку.
Це раніше невідома помилка в програмному забезпеченні, яку вендор ще не встиг виправити, а хакери вже можуть використовувати для атак.
Назва походить від того, що у розробника «нуль днів» на реакцію, адже про вразливість або ще не знають, або знають лише вузьке коло фахівців. Такі уразливості вважаються особливо небезпечними, бо антивіруси та системи захисту зазвичай не встигають виявити або заблокувати їх на ранньому етапі.
Уразливість виявив 25 червня Клеман Лесінь із Google Threat Analysis Group (TAG). Це підрозділ, який спеціалізується на відстеженні цільових кібератак, часто з боку державних хакерських груп. Проблема була знайдена у V8, рушії JavaScript і WebAssembly, який використовується в Chrome. Через помилку типізації (Type Confusion) атака дозволяла читання або запис за межами дозволеної області пам’яті.
Уже наступного дня, 26 червня, Google випустила оновлення на стабільному каналі Chrome для всіх платформ:
Типовим сценарії використання таких вразливостей отримання віддаленого доступу, крадіжка даних або встановлення шпигунського ПЗ. Хоча Google не розкриває, хто саме став мішенню, участь TAG може свідчити про спроби стеження за журналістами, політичними активістами або іншими «високоризиковими» користувачами.
Користувачам рекомендується перевірити актуальність оновлень вручну в розділі Налаштування > Довідка > Про Chrome. Також оновлення мають отримати інші браузери на базі Chromium: Edge, Brave, Opera, Vivaldi.
Це вже четверта вразливість нульового дня, яку Google усунула цього року. Раніше компанія латала критичні уразливості, пов’язані з виходом за межі пам’яті й обходом ізольованого середовища (sandbox). Одну з них пов’язували з кібершпигунською кампанією проти установ у Росії. Компанія закликає ІТ-відділи активувати автоматичне оновлення браузерів для всіх пристроїв і постійно стежити за появою нових патчів.
Нагадаємо, у нас також виходив матеріал про те, як компанія Google закликала користувачів негайно оновити браузер Chrome через високу вразливість, що дає змогу віддаленим зловмисникам викрадати конфіденційні дані з інших сайтів.
