Google выпустил экстренное обновление для Chrome, устраняющее уязвимость CVE-2025-6558 с высоким уровнем опасности (CVSS 8.8). Эксплойт активно используется злоумышленниками для атак на пользователей.
Уязвимость затрагивает компоненты ANGLE (Almost Native Graphics Layer Engine) и GPU браузера. Ошибка в обработке непроверенных входных данных позволяет удалённым злоумышленникам осуществить «побег из песочницы» через специально созданную HTML-страницу. Для компрометации системы жертве достаточно посетить вредоносный сайт — дополнительные действия не требуются.
Поражены версии Chrome ниже 138.0.7204.157. Успешная атака предоставляет глубокий доступ к системе, что особенно опасно при целевых операциях, включая атаки государственных хакерских групп.
Уязвимость обнаружена 23 июня 2025 года исследователями Клеманом Лесинем и Владом Столяровым из группы Threat Analysis Group (TAG) Google. Это пятый подтверждённый zero-day в Chrome за 2025 год после CVE-2025-2783, CVE-2025-4664, CVE-2025-5419 и CVE-2025-6554. Последняя, CVE-2025-6554 (CVSS 8.1), также эксплуатировалась в дикой природе и была устранена двумя неделями ранее.
Google уже распространил фикс:
Обновление проводится через меню Chrome: Справка → О браузере Google Chrome → Перезапустить.
Пользователям Chromium-браузеров (Microsoft Edge, Brave, Opera, Vivaldi) необходимо установить патчи сразу после их публикации. Уязвимость относится к категории сбоев GPU, связанных с WebGL или шейдерами, которые часто используются в цепочечных атаках. Данные о CVE-2025-6558 подтверждены Национальной базой уязвимостей NIST.
Изображение носит иллюстративный характер
Уязвимость затрагивает компоненты ANGLE (Almost Native Graphics Layer Engine) и GPU браузера. Ошибка в обработке непроверенных входных данных позволяет удалённым злоумышленникам осуществить «побег из песочницы» через специально созданную HTML-страницу. Для компрометации системы жертве достаточно посетить вредоносный сайт — дополнительные действия не требуются.
Поражены версии Chrome ниже 138.0.7204.157. Успешная атака предоставляет глубокий доступ к системе, что особенно опасно при целевых операциях, включая атаки государственных хакерских групп.
Уязвимость обнаружена 23 июня 2025 года исследователями Клеманом Лесинем и Владом Столяровым из группы Threat Analysis Group (TAG) Google. Это пятый подтверждённый zero-day в Chrome за 2025 год после CVE-2025-2783, CVE-2025-4664, CVE-2025-5419 и CVE-2025-6554. Последняя, CVE-2025-6554 (CVSS 8.1), также эксплуатировалась в дикой природе и была устранена двумя неделями ранее.
Google уже распространил фикс:
- Для Windows и macOS: версии 138.0.7204.157 или.158
- Для Linux: версия 138.0.7204.157
Обновление проводится через меню Chrome: Справка → О браузере Google Chrome → Перезапустить.
Пользователям Chromium-браузеров (Microsoft Edge, Brave, Opera, Vivaldi) необходимо установить патчи сразу после их публикации. Уязвимость относится к категории сбоев GPU, связанных с WebGL или шейдерами, которые часто используются в цепочечных атаках. Данные о CVE-2025-6558 подтверждены Национальной базой уязвимостей NIST.
