Обновите Chrome немедленно: обнаружена уязвимость нулевого дня с рабочим эксплойтом

Google выпустила обновления безопасности для браузера Chrome, чтобы устранить опасную уязвимость , для которой уже существует рабочий эксплойт. Проблема отслеживается под номером CVE-2025-6554 и классифицируется как ошибка типа «Type Confusion» в движке V8, отвечающем за выполнение JavaScript и WebAssembly.

По данным Национальной базы уязвимостей США (NVD), эта брешь позволяла удалённым злоумышленникам получать произвольный доступ к чтению и записи данных путём специально подготовленной HTML-страницы. Ошибки типа «Type Confusion» считаются особо серьёзными, поскольку позволяют злоумышленнику провоцировать непредсказуемое поведение ПО, что может привести к запуску произвольного кода или сбоям приложений.

Особую опасность ситуация представляет из-за того, что речь идёт об уязвимости нулевого дня — хакеры начали активно использовать её ещё до выхода исправления. В подобных случаях злоумышленники могут установить шпионское ПО, провести незаметную загрузку вредоносных файлов или выполнить вредоносный код на устройстве пользователя — порой достаточно просто открыть заражённый сайт.

Уязвимость обнаружил и сообщил о ней 25 июня 2025 года сотрудник группы Threat Analysis Group (TAG) компании Google. Эта команда занимается расследованием серьёзных киберугроз, включая фишинговые кампании, эксплойты без взаимодействия с пользователем и попытки обхода изоляции браузеров. Факт, что именно TAG зафиксировала проблему, косвенно указывает на возможное использование уязвимости в целевых атаках, которые могут быть связаны с деятельностью спецслужб или коммерческими шпионскими операциями.

Компания Google отметила, что уже 26 июня внедрила корректирующее изменение конфигурации, которое было оперативно распространено через стабильный канал обновлений на всех платформах. Это значит, что угроза для большинства пользователей пока не носит массового характера, однако её устранение остаётся крайне срочным, особенно для тех, кто работает с конфиденциальной информацией или имеет дело с критически важными системами.

Дополнительных подробностей о самом эксплойте и о том, кто мог его использовать, Google не раскрыла, однако подтвердила, что рабочая вредоносная схема действительно существует и находится в обороте.

CVE-2025-6554 стала уже четвёртой уязвимостью нулевого дня в браузере Chrome за 2025 год. До этого специалисты устраняли другие аналогичные угрозы под номерами CVE-2025-2783 , CVE-2025-4664 и CVE-2025-5419 .

Чтобы защититься от потенциальных атак, рекомендуется обновить браузер до следующих версий: 138.0.7204.96 или 138.0.7204.97 для Windows, 138.0.7204.92 или 138.0.7204.93 для macOS и 138.0.7204.96 для Linux. Проверить актуальность установленной версии можно в разделе настроек браузера, пункт «Справка» — «О браузере Google Chrome», где автоматически начнётся обновление при необходимости.

Пользователям других браузеров на базе Chromium, таких как Microsoft Edge, Brave, Yandex, Opera и Vivaldi, также рекомендуется следить за выходом соответствующих исправлений и оперативно их устанавливать.