Один визит — и компьютер заражён. Google экстренно латает дыры в Chrome

Google Chrome ANGLE CVE-2025-9478 WebGL уязвимость обновление
Один визит — и компьютер заражён. Google экстренно латает дыры в Chrome
Google Chrome ANGLE CVE-2025-9478 WebGL уязвимость обновление

Вредоносное ПО устанавливается автоматически, без ведома пользователя.

image

Google выпустила экстренное обновление для Chrome, устраняющее критическую уязвимость CVE-2025-9478 в библиотеке ANGLE. Ошибка типа use-after-free , обнаруженная 11 августа командой Google Big Sleep, позволяет атакующему выполнить произвольный код через специально подготовленные WebGL- или Canvas-операции. Достаточно посещения вредоносной страницы, чтобы браузер переписал память и запустил чужой код с правами текущего пользователя. Такой сценарий открывает дорогу к установке вредоносного ПО, краже данных и дальнейшему проникновению в корпоративные сети, что особенно опасно для компаний и ценных целей.

Обновления доступны в Chrome Stable 139.0.7258.154/.155 для Windows и macOS, а также 139.0.7258.154 для Linux. Распространение происходит автоматически, но Google настоятельно рекомендует ускорить установку. Администраторам корпоративных систем предлагаются MSI-пакеты и Enterprise Bundle для развёртывания в средах с жёстким управлением изменениями.

Проблема кроется в компоненте ANGLE, который транслирует вызовы OpenGL ES в нативные графические API. Из-за ошибки освобождённая память может быть использована повторно, а злоумышленник способен подменить её содержимое. При успешной атаке выполняется произвольный код, что превращает уязвимость в удобный инструмент для drive-by-атак : достаточно одного визита на заражённый сайт. Потенциальные последствия включают внедрение шпионских программ, шифровальщиков и других инструментов для закрепления в инфраструктуре жертвы.

Google советует администраторам не откладывать обновления и дополнительно отслеживать прокси-и endpoint-логи на предмет аномалий, связанных с WebGL и графическими API. Также рекомендуется жёстко соблюдать принцип минимальных привилегий и предупреждать пользователей об опасности переходов по неизвестным ссылкам, особенно содержащим интерактивный графический контент.

Подробности эксплуатации CVE-2025-9478 пока не раскрываются, чтобы дать время большинству пользователей обновиться. Компания подчёркивает важность внешних сообщений об ошибках и продолжает выплачивать вознаграждения за найденные баги, укрепляя сотрудничество между исследователями и разработчиками в защите открытых проектов.