Користувачі Chrome, ви знаєте правило. Чергову вразливість нульового дня браузера-гіганта Google виправлено, і вам терміново потрібно оновити свій браузер.
Google повідомила, що останню вразливість нульового дня — шосту оголошену та виправлену з початку 2025 року — активно експлуатують «в дикій природі», хоча незрозуміло, чи використовується вона широко. Вразливість стала публічно відомою, тому вважається критичною.
Google присвоїла проблемі номер CVE-2025-10585 і випустила виправлення для стабільних версій настільних браузерів (Windows, Mac, Linux) лише через два дні після того, як про неї повідомили до Групи аналізу загроз. Як повідомляє Bleeping Computer, проблема виникла через помилку типізації в JavaScript-движку. Цей тип вразливості неодноразово експлуатувався раніше у Chrome та інших браузерах. Також виправлено три інші високорівневі вразливості, дві з яких виявили незалежні дослідники, які отримали винагороди за знайдені помилки.
Компанія усунула проблему безпеки через день після звіту, випустивши версії 140.0.7339.185/.186 для Windows/Mac та 140.0.7339.185 для Linux, які поступово надходитимуть до настільних ПК протягом наступних тижнів.
Хоча Chrome автоматично оновлюється при появі нових патчів безпеки, ви можете прискорити процес: перейдіть до меню Chrome > Довідка > Про Chrome, дочекайтеся завершення оновлення, а потім натисніть кнопку «Перезапустити», щоб встановити його негайно.
Деталі залишаються обмеженими
Попри те, що Google вже підтвердила використання CVE-2025-10585 в атаках, компанія поки не розкриває додаткових подробиць щодо експлуатації «в дикій природі».
«Доступ до деталей помилки може залишатися обмеженим, доки більшість користувачів не оновиться з виправленням», — зазначила Google. «Ми також збережемо обмеження, якщо помилка існує в сторонній бібліотеці, від якої залежать інші проєкти, але вони ще не виправили її».
Серія вразливостей у 2025 році
Це шоста активно експлуатована вразливість нульового дня Chrome, яку Google виправила цього року. П’ять попередніх було усунуто в березні, травні, червні та липні.
У липні компанія усунула ще одну активно експлуатовану zero-day вразливість (CVE-2025-6558), про яку повідомили дослідники Google TAG. Вона дозволяла зловмисникам вийти за межі захисту «пісочниці» браузера.
У травні Google випустила додаткові екстрені оновлення безпеки для усунення zero-day вразливості Chrome (CVE-2025-4664), що дозволяла зловмисникам захоплювати облікові записи. У червні було виправлено слабкість читання та запису за межами буфера (CVE-2025-5419) у JavaScript-движку V8 Chrome, виявлену Google TAG.
У березні компанія також усунула критичну вразливість (CVE-2025-2783). Ця проблема використовувалася в шпигунських атаках проти урядових організацій та медіавидань.
Користувачі Chrome повинні негайно оновити свій браузер, не чекаючи автоматичного оновлення.
