Google срочно закрыла опасную уязвимость в Chrome — её уже используют

Google срочно закрыла опасную уязвимость в Chrome — её уже используют

Google срочно закрыла опасную уязвимость в Chrome — её уже используют

Google выпустила важное обновление для десктопной версии Chrome — стабильная сборка под номером 136.0.7103.113/.114 уже начала распространяться на Windows и macOS, а на Linux — 136.0.7103.113. Обновление выйдет волнами в течение ближайших дней и недель.

Главное — в апдейте закрыто четыре уязвимости, две из которых признаны критическими. И одна из них уже активно эксплуатируется в реальных кибератаках.

Речь о баге с идентификатором CVE-2025-4664. Он связан с недостаточной проверкой политик в компоненте Loader. Впервые об уязвимости сообщил исследователь @slonser_ в посте на X 5 мая. Google подтвердила: эксплойт для этого бага уже существует и используется злоумышленниками.

Что именно даёт эта уязвимость? Потенциально — возможность обойти системные ограничения, выполнить код или даже выйти за пределы песочницы Chrome. Всё это делает баг особенно опасным — так что обновляться стоит как можно скорее.

Вторая серьёзная проблема — CVE-2025-4609, связанная с ошибкой в системе межпроцессного взаимодействия Mojo. Деталей меньше, но известно, что такие баги могут привести к повышению привилегий, повреждению памяти и другим не менее неприятным последствиям — особенно в таком сложном приложении, как Chrome.

Обе уязвимости были найдены внешними исследователями, и Google благодарит их за ответственную работу — в том числе @slonser_ и Micky. Как обычно, подробности пока не раскрываются, чтобы не дать шанс другим злоумышленникам.

Если вы ещё не обновили Chrome — самое время это сделать. Уязвимость уже используется, а значит, речь идёт не просто о гипотетической угрозе, а о реальной атаке.

Мошенники спрятали фишинг под кнопкой «отписаться от рассылки»

Мошенники нашли ещё один способ сыграть на человеческом раздражении: теперь они рассылают фейковые рекламные письма, где под привычной кнопкой «отписаться» прячется фишинговая ссылка. На почту приходит письмо, похожее на обычную рекламную рассылку. Внизу стандартная фраза: не хотите получать такие сообщения, нажмите «отписаться» или перейдите по ссылке.

Об этом ТАСС сообщил сенатор Артём Шейкин. Пользователь, уже уставший от спама, кликает и попадает не на нормальную страницу отказа от рассылки, а на сайт с формой подтверждения отписки.

Вместо одной кнопки или максимум адреса электронной почты человеку предлагают ввести персональные данные: имя, фамилию, телефон, адрес почты и другую информацию.

По словам Шейкина, так злоумышленники получают не просто активный адрес электронной почты, а более ценный набор сведений о человеке. Потом эти данные можно использовать для новых фишинговых писем, звонков и точечных атак.

Особенно опасна схема для корпоративной почты. Если такие письма массово прилетают сотрудникам компании, мошенники могут собирать рабочие адреса, должности, телефоны и другую информацию для будущих атак. В общем, отписка может внезапно стать первым шагом ко взлому компании.

Главная уловка в том, что человек действует не из страха, а из раздражения. Ему хочется быстро убрать ненужную рассылку, поэтому он не смотрит внимательно ни на адрес сайта, ни на странные формулировки, ни на объём запрашиваемых данных.

Настоящая отписка не должна требовать паспорт, телефон или лишние персональные сведения. Если письмо выглядит сомнительно, лучше не жать на ссылки, а удалить его, отправить в спам или проверить отправителя через официальный сайт компании.

RSS: Новости на портале Anti-Malware.ru