Бягство от пясъчника: Google спешно отстранява пробив в сигурността на Chrome
Едно посещаване на инфектиран уеб уебсайт и хакерите към този момент са в системата ви.
Гугъл пусна изключителна актуализация за браузъра Chrome, с която се отстраняват шест уязвимости едновременно, една от които към този момент се употребява интензивно при действителни офанзиви. Проблемът визира сериозни съставни елементи, свързани с графичния енджин на браузъра, и има капацитет да провокира навлизане в пясъчника – защитния механизъм, който изолира процесите в Chrome от останалата част на системата.
Най-сериозната от поправените уязвимости е CVE-2025-6558 с CVSS оценка 8,8. Тя се отнася до неправилната обработка на ненадеждни данни в съставените елементи ANGLE и GPU. ANGLE, или Almost Native Graphics Layer Engine, служи като пласт сред браузъра и драйверите на графичния хардуер. Именно посредством този пласт една злонамерена уеб страница може да инициира по този начин нареченото „ бягство от пясъчника “ и да взаимодейства с останалата част от системата на ниско равнище.
Този способ е изключително рисков в случаите на целенасочени офанзиви – единствено отварянето на страницата е задоволително, с цел да се получи неоткриваема зараза, без да е належащо да се кликва или да се изтеглят файлове. Разработчиците от Гугъл означават, че експлойтът за тази накърнимост към този момент се употребява в действителни офанзиви, макар че не се разкриват съответните им елементи и цели. Откриването на казуса принадлежи на специалистите от Threat Analysis Group – Clément Lesigne и Vlad Stolyarov – които оповестиха за уязвимостта на 23-ти юни 2025 година
Фактът, че уязвимостта взе участие в действителни офанзиви и е открита от екип за закани на държавно равнище, демонстрира вероятното присъединяване на национални кибернетични организации.
С актуализацията на Chrome се затварят още пет уязвимости, в това число CVE-2025-6554, също открита от Лесин на 25-ти юни. Това е петият път през тази година, в който Гугъл отстранява интензивно експлоатирани или демонстрирани като доказателство за концепцията уязвимости. Списъкът включва също по този начин CVE-2025-2783, CVE-2025-4664 и CVE-2025-5419.
За да се защитят потребителите, се предлага Chrome да се актуализира до версия 138.0.7204.157 или 138.0.7204.158 за Windows и macOS и 138.0.7204.157 за Linux. Можете да инсталирате най-новата версия посредством раздела „ За браузъра “ в настройките. Собствениците на браузъри, основани на Chromium – като Edge, Brave, Opera и Vivaldi – също би трябвало да наблюдават за излизането на актуализации.
Уязвимостите, свързани с графичните съставни елементи и механизмите за уединяване на процесите, не всеки път попадат в новините, само че постоянно се употребяват във вериги от офанзиви. Особено си коства да се обърне внимание на излизането от привилегиите, грешките в графичните процесори и WebGL, както и на повреждането на паметта в процеса на рендиране – това са области, които постоянно са в основата на идващите сериозни уязвимости.
