В понедельник Google сообщила, что на прошлой неделе незаметно внесла изменения в конфигурацию, чтобы заблокировать активное использование Chrome с нулевым днем.
Члены группы анализа угроз Google Клемент Лесинь (Clement Lecigne) и Бенуа Севенс (Benoît Sevens) заметили высокий уровень-ошибка серьезности, отслежена как CVE-2025-5419 27 мая. Это уязвимость, доступная для чтения и записи в JavaScript-движке Chrome версии 8, которая может позволить удаленному злоумышленнику повредить память и потенциально перехватить выполнение с помощью HTML-страницы-ловушки. Злоумышленники могут использовать эксплойт для раскрытия конфиденциальных данных и/или выполнения произвольного кода и сбоя компьютера пользователя.
«Google известно, что эксплойт для CVE-2025-5419 существует в дикой природе», — говорится в сообщении, добавляя, что «проблема была устранена». на следующий день после того, как Лечин и Севенс обнаружили ошибку «из-за изменения конфигурации на стабильную на всех платформах Chrome».
Хотя у нас нет никаких подробностей о том, кто использует дыру в безопасности и с какой целью, команда TAG тщательно отслеживает шпионские программы и банды национальных государств. злоупотребление нулевыми днями в шпионских целях.
Как обычно, the Chocolate Factory тщательно скрывает детали ошибки, пока большинство ее пользователей не обновят свое программное обеспечение с исправлением.
Это исправление появилось в понедельник с выпуском Chrome 137.0.7151.68 и .69 для Windows и macOS, и 137.0.7151.68 для Linux, который будет выпущен в ближайшие дни и недели.В обновлении Chrome, выпущенном в понедельник, также исправлена ошибка средней степени тяжести (CVE-2025-5068) в движке рендеринга Blink с открытым исходным кодом.
Это последнее обновление в растущей череде «нулевых дней». Еще в марте Google выпустила экстренный патч для исправления «нулевого дня» в Chrome, который, по-видимому, использовался для слежки за российскими правительственными учреждениями, журналистами и учеными. Этот файл, отслеживаемый как CVE-2025-2783, позволял удаленным шпионам выходить из «песочницы» Chrome с помощью вредоносного файла.Исследователи Касперского обнаружили, что мартовский сбой использовался в фишинговой кампании, нацеленной на российских жертв с использованием поддельных приглашений на мероприятия. «Уязвимость CVE-2025-2783 действительно заставила нас ломать голову, поскольку, не совершая ничего явно вредоносного или запрещенного, она позволила злоумышленникам обойти защиту Google Chrome в песочнице, как будто ее даже не существовало», — написали исследователи Касперского Игорь Кузнецов и Борис Ларин..
Затем, в мае, Google выпустила еще одно экстренное обновление для системы безопасности, чтобы исправить ошибку нулевого дня в Chrome, недостаточное применение политики в загрузчике, которая отслеживалась как CVE-2025-4664. Это может быть использовано удаленным злоумышленником для обхода политик безопасности в загрузчике Chrome, что приведет к несанкционированному выполнению кода или выходу из изолированной среды.
Вскоре после этого Агентство кибербезопасности и защиты инфраструктуры США добавило CVE-2025-4664 в свой каталог известных используемых уязвимостей. ®
