- Автор темы
- #1
Компания Google выпустила экстренный патч для Chrome, закрывающий уязвимость нулевого дня CVE-2025-13223 (8,8 балла по шкале CVSS). Это уже седьмая 0-day, которая эксплуатировалась в реальных атаках и была исправлена в браузере в этом году.
Исправленная проблема связана с ошибкой типа type confusion в JavaScript-движке V8 и WebAssembly. О ней сообщил Клемент Лесинь (Clement Lecigne) из Google Threat Analysis Group — подразделения компании, которое отслеживает атаки проправительственных хакерских групп. Так, специалисты Google TAG регулярно выявляют 0-day-эксплоиты, используемые в шпионских кампаниях против журналистов, оппозиционных политиков и диссидентов.
Никаких подробностей об обнаруженных атаках на CVE-2025-13223 в компании пока не раскрывают. Google традиционно сообщает, что информация об уязвимостях и ссылки на них остаются закрытыми, пока большинство пользователей не установит обновление. Также ограничения сохраняются, если уязвимость затрагивает сторонние библиотеки, которые используют другие проекты.
Патч для проблемы включен в версии 142.0.7444.175/.176 для Windows, 142.0.7444.176 для Mac и 142.0.7444.175 для Linux. Обычно Chrome обновляется автоматически, однако можно проверить версию вручную: Меню → Справка → О браузере Google Chrome.
Отметим, что CVE-2025-13223 стала уже седьмой уязвимостью нулевого дня, находящейся под атаками и обнаруженной в Chrome в 2025 году. Для сравнения: в 2024 году Google исправила 10 0-day в Chrome, часть из которых была продемонстрирована на соревнованиях Pwn2Own, а остальные эксплуатировались в реальных атаках.
Исправленная проблема связана с ошибкой типа type confusion в JavaScript-движке V8 и WebAssembly. О ней сообщил Клемент Лесинь (Clement Lecigne) из Google Threat Analysis Group — подразделения компании, которое отслеживает атаки проправительственных хакерских групп. Так, специалисты Google TAG регулярно выявляют 0-day-эксплоиты, используемые в шпионских кампаниях против журналистов, оппозиционных политиков и диссидентов.
Сообщается, что баг мог использоваться для выполнения произвольного кода или провоцирования сбоев.
Никаких подробностей об обнаруженных атаках на CVE-2025-13223 в компании пока не раскрывают. Google традиционно сообщает, что информация об уязвимостях и ссылки на них остаются закрытыми, пока большинство пользователей не установит обновление. Также ограничения сохраняются, если уязвимость затрагивает сторонние библиотеки, которые используют другие проекты.
Патч для проблемы включен в версии 142.0.7444.175/.176 для Windows, 142.0.7444.176 для Mac и 142.0.7444.175 для Linux. Обычно Chrome обновляется автоматически, однако можно проверить версию вручную: Меню → Справка → О браузере Google Chrome.
Отметим, что CVE-2025-13223 стала уже седьмой уязвимостью нулевого дня, находящейся под атаками и обнаруженной в Chrome в 2025 году. Для сравнения: в 2024 году Google исправила 10 0-day в Chrome, часть из которых была продемонстрирована на соревнованиях Pwn2Own, а остальные эксплуатировались в реальных атаках.