Описание уязвимости
CVE-2025-6554 - это уязвимость в движке V8 в Google Chrome, связанная с путаницей типов. В Google Chrome до версии 138.0.7204.96 удаленный злоумышленник может выполнить произвольные операции чтения и записи, создав вредоносную HTML-страницу.
Уязвимость затрагивает версии
Версия Google Chrome ниже 138.0.7204.96.
Технические подробности об уязвимости
CVE-2025-6554 - это уязвимость перепутывания типов в движках V8 JavaScript и WebAssembly. Уязвимости, связанные с путаницей типов, могут иметь серьезные последствия, поскольку их можно использовать для запуска неожиданного поведения программного обеспечения, что может привести к выполнению произвольного кода и сбоям в работе программы.
Оценка поверхности воздействия уязвимости
Уязвимость относится к эксплойтам нулевого дня, что означает, что злоумышленники начинают использовать ее до того, как появится исправление. В реальном мире эти уязвимости могут позволить хакерам установить шпионское ПО, инициировать загрузки по принципу drive-by или бесшумно запустить вредоносный код, иногда просто заставив пользователей открыть вредоносные веб-сайты.
Уязвимость обнаружил и сообщил о ней Клеман Лецинь из Группы анализа угроз (TAG) Google 25 июня 2025 года, предположив, что она могла быть использована в узконаправленной атаке, в которой могли участвовать спонсируемые государством злоумышленники или операции по наблюдению. TAG обычно обнаруживает и расследует серьезные угрозы, такие как спонсируемые государством атаки.
Google также отметила, что проблема была устранена на следующий день с помощью изменения конфигурации, которое было добавлено в канал стабильных релизов для всех платформ. Для обычных пользователей это означает, что угроза, возможно, еще не получила широкого распространения, но ее все равно необходимо срочно устранить, особенно если вы работаете с конфиденциальными или дорогостоящими данными.
CVE-2025-6554 - это уже четвертая уязвимость "нулевого дня" в Chrome, которую Google устраняет с начала года, к ней присоединились CVE-2025-2783, CVE-2025-4664 и CVE-2025-5419. Стоит отметить, что пока неизвестно, была ли использована уязвимость CVE-2025-4664 в злонамеренных целях.
Рекомендации по устранению уязвимостей
Для защиты от потенциальных угроз рекомендуется обновить Chrome до версии 138.0.7204.96/.97 для Windows, 138.0.7204.92/.93 для macOS и 138.0.7204.96 для Linux.
Если вы не уверены, что ваш браузер обновлен, зайдите в Настройки > Справка > О Google Chrome - он должен автоматически запустить последнее обновление. -Он должен автоматически запускать последнее обновление. Для организаций и ИТ-команд, управляющих несколькими конечными устройствами, очень важно включить автоматическое управление исправлениями и следить за соответствием версий браузеров.
Пользователям других браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применить исправление, как только оно станет доступно.