Google выпустила экстренное обновление безопасности для браузера Chrome, устраняющее две уязвимости типа Type Confusion, одна из которых, по сообщению HotHardware, уже эксплуатировалась в реальных атаках. Патч уже начал распространяться на устройства по всему миру.
Источник изображения: AI
Первая уязвимость, зарегистрированная под идентификатором CVE-2025-13223, обнаружена в движке V8 — компоненте Chrome, отвечающем за выполнение JavaScript и WebAssembly. Речь идёт о классической ошибке несоответствия типов данных или «путанице типов» (Type Confusion), возникающей, например, при интерпретации целого числа как символа. Эта ошибка позволяет удалённо спровоцировать повреждение кучи (область памяти, используемая для динамического выделения памяти) с помощью специально созданной HTML-страницы.
Вторая уязвимость с идентификатором CVE-2025-13224, имеет ту же природу, что и Type Confusion в V8, однако признаков её активного использования пока не обнаружено. Интересно, что эту ошибку нашёл собственный ИИ-агент Google Big Sleep.
Google пока ограничивает доступ к детальной технической информации, чтобы минимизировать риск новых атак до того, как большинство пользователей успеет обновиться. Как поясняется в блоге компании, информация не будет раскрываться, пока исправление не будет установлено на большинстве устройств или пока аналогичные баги не будут закрыты в сторонних библиотеках, от которых зависят другие браузеры на базе Chromium.
Обновление происходит автоматически, но для ускорения процесса специалисты рекомендуют вручную проверить наличие апдейта через меню «Справка — О браузере Google Chrome». Аналогичные меры рекомендуется предпринять и пользователям других браузеров на базе Chromium, включая Microsoft Edge, Brave и Opera.