Google ліквідував критичну вразливість у Chrome, яку вже використовували хакери
Google усунув чергову критичну вразливість нульового дня у своєму браузері Chrome — CVE-2025-6558. Вразливість виявили дослідники з Google Threat Analysis Group — Клеман Лесінь і Влад Столяров, пише Threat Protection.
Вразливість пов’язана з недостатньою перевіркою ненадійного введення в ANGLE (графічний шаровий рушій) та GPU Chrome. Успішна атака дозволяє зловмиснику виконати втечу з пісочниці браузера через шкідливо сформовану HTML-сторінку. Це відкриває шлях до більш глибокого доступу до системи, що становить серйозну загрозу для безпеки користувачів.
Що відомо про вразливість Chrome?
Підписуйтеся на наші соцмережі
- Вразливість стосується версій Chrome до 138.0.7204.157.
- Успішна експлуатація дозволяє віддаленому зловмиснику уникнути ізоляції браузера, використовуючи низькорівневі можливості GPU.
- Це рідкісний, але дуже потужний тип атаки, що дозволяє обійти захист браузера.
Інші вразливості, які Google виправив разом із CVE-2025-6558:
- CVE-2025-7656 — переповнення цілих чисел у рушії JavaScript V8.
- CVE-2025-7657 — використання після звільнення пам’яті у WebRTC.
Оцінка Qualys Vulnerability Score (QVS) для CVE-2025-6558 становить 95 зі 100, що свідчить про її критичність. Вразливість також внесено до каталогу відомих експлуатованих вразливостей CISA, а термін її усунення відповідно до BOD 22-01 — до 12 серпня 2025 року.
Що робити користувачам із вразливістю Chrome:
- Оновити Chrome до версії 138.0.7204.157 або 138.0.7204.158 (Windows, Mac) або 138.0.7204.157 (Linux).
- Користувачі Microsoft Edge також мають оновити браузер до версії 138.0.3351.95, яка вже містить відповідне виправлення.