Актуализирайте Google Chrome незабавно: Открита е сериозна уязвимост с работещ експлойт
Гугъл пусна актуализация за сигурност за браузъра Chrome, с цел да в профил рискова накърнимост, за която към този момент има работещ експлойт. Става дума за накърнимост с номер CVE-2025-6554, която се се класифицира като „ Type Confusion “ неточност в енджина V8, който дава отговор за осъществяването на JavaScript и WebAssembly.
Type Confusion се отнася до неточност в програмирането, при която програмата получава достъп до данни, приемайки, че те съставляват един вид, а в действителност съставляват друг вид.
Според Националната база данни за уязвимости на Съединени американски щати (NVD) минусът разрешава на отдалечени нападатели да получат случаен достъп за четене и запис на данни посредством особено основана HTML страница. Type Confusion уязвимостите се смятат за изключително съществени, защото разрешават на нападателя да провокира непредсказуемо държание на софтуера, което може да докара до случайно осъществяване на код или срив на приложението.
Ситуацията е изключително рискова, защото става въпрос за накърнимост от вида „ нулев ден “ – хакери са почнали интензивно да я употребяват още преди публикуването на кръпката.
В такива случаи нападателите могат да конфигурират шпионски програмен продукт, скрито да изтеглят зловредни файлове или да изпълнят злотворен код на устройството на потребителя – от време на време е задоволително единствено да бъде отворен инфектиран уеб страница.
Уязвимостта е открита и докладвана на 25 юни от чиновник на Групата за разбор на заканите (TAG) на Гугъл. Този екип проверява съществени киберзаплахи, в това число фишинг акции, експлойти без взаимоотношение с потребителя и опити за заобикаляне на изолацията на браузъра. Фактът, че точно TAG е отстранила казуса, косвено насочва към вероятното потребление на уязвимостта при целенасочени офанзиви, които биха могли да са свързани с разследващи организации или търговски шпионски интервенции.
Гугъл означи, че към този момент е въвела коригираща смяна в конфигурацията на 26 юни, която навреме е била публикувана по канала за постоянни актуализации във всички платформи. Това значи, че опасността към момента не е необятно публикувана за множеството консуматори, само че отстраняването ѝ остава извънредно незабавно, изключително за тези, които работят с сензитивна информация или се занимават с сериозни системи.
Гугъл не разкри спомагателни детайлности за самия експлойт или за това кой може да го е употребявал, само че удостовери, че работеща скица на злотворен програмен продукт съществува и е в послание.
За да се предпазите от евентуални офанзиви се предлага да актуализирате браузъра си до следните версии: 138.0.7204.96 или 138.0.7204.97 за Windows, 138.0.7204.97 за macOS и 138.0.7204.96 за Linux. Можете да ревизирате дали конфигурираната версия е настояща в раздела за настройки на браузъра, Помощ – За Гугъл Chrome, който автоматизирано ще стартира актуализация, в случай че е належащо.
На потребителите на други браузъри, основани на Chromium, като Microsoft Edge, Brave, Yandex, Opera и Vivaldi също се предлага да наблюдават за стартирането на съответните пачове и да ги конфигурират навреме.
