Google закрыла эксплуатируемую уязвимость в Chrome, затронут движок V8

Екатерина Быстрова 18 Ноября 2025 - 09:29

Домашние пользователи

Уязвимость нулевого дня

Патчи

...

Google закрыла эксплуатируемую уязвимость в Chrome, затронут движок V8

Google выпустила патчи для браузера Chrome, закрывающие две уязвимости, одна из которых уже активно используется злоумышленниками. Речь идёт о CVE-2025-13223 — ошибке type confusion в движке V8, отвечающем за выполнение JavaScript и WebAssembly.

Из-за проблемы специально подготовленная веб-страница могла вызвать повреждение памяти и привести к выполнению произвольного кода.

Как отмечает Национальный институт стандартов и технологий США, уязвимость затрагивает версии Chrome до 142.0.7444.175. Обнаружил проблему исследователь из Google TAG — подразделения, отслеживающего целевые атаки.

Google традиционно не раскрывает детали: кто стоит за эксплуатацией, кого атаковали и насколько массово применялся эксплойт. Но компания подтверждает, что рабочий вектор атаки для CVE-2025-13223 уже существует.

С начала года это уже седьмая zero-day уязвимость в Chrome, которую злоумышленники либо эксплуатировали, либо демонстрировали в виде PoC.

Среди них — CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554, CVE-2025-6558 и CVE-2025-10585. Текущая lshf стала третьей активно эксплуатируемой type confusion в V8 в 2025 году.

Вместе с ней Google закрыла ещё одну подобную брешь — CVE-2025-13224. Интересно, что эту уязвимость нашёл не человек, а внутренний ИИ компании Big Sleep.

Пользователям рекомендуют обновиться до последних версий: 142.0.7444.175/.176 для Windows, 142.0.7444.176 для macOS и 142.0.7444.175 для Linux. Проверить обновления можно через меню «Справка» → «О браузере Google Chrome». После установки потребуется перезапуск.

Обновления также стоит ждать пользователям других браузеров на базе Chromium — Edge, Brave, Opera, Vivaldi. Как только производители включат исправления, их тоже нужно будет установить.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 12 Февраля 2026 - 09:13

iOS Эксплойты Уязвимости программ Уязвимость нулевого дня Домашние пользователи Корпорации Apple

Apple срочно закрыла 0-day в iOS после шпионской атаки

Apple вчера вечером выпустила обновления своих ОС. Среди них стоит отметить патчи для устройств iPhone и iPad, закрывающие критическую уязвимость нулевого дня, которая уже используется в реальных атаках. Речь идёт о баге с идентификатором CVE-2026-20700.

По словам Apple, эксплойт применялся в «очень сложной атаке» против конкретных людей.

Такая формулировка у Apple появляется нечасто; как правило, она подразумевает целевые кибератаки уровня коммерческого шпионского софта. Обнаружили проблему специалисты Google Threat Analysis Group (TAG) — команды, которая как раз охотится за правительственными кибергруппами.

Атаки, скорее всего, были направлены на журналистов, дипломатов, активистов или других «интересных» для разведки персон, а не на массового пользователя.

Уязвимость находится в dyld — это динамический загрузчик библиотек, один из базовых компонентов iOS и iPadOS. Он отвечает за то, чтобы при запуске приложения система корректно подгружала нужные библиотеки и фреймворки.

Проблема в том, что из-за ошибки злоумышленник с возможностью записи в память мог добиться выполнения произвольного кода. Проще говоря, встроить свои инструкции в процесс загрузки приложения и обойти защитные механизмы.

Apple прямо указывает, что CVE-2026-20700, вероятно, использовалась в составе более широкой цепочки эксплуатации. Одновременно были закрыты ещё две уязвимости — CVE-2025-14174 и CVE-2025-43529. Судя по всему, атакующие комбинировали несколько багов, чтобы обойти современные механизмы защиты.

Патч уже доступен в составе iOS 26.3 и iPadOS 26.3. Обновление касается широкого списка устройств:

iPhone 11 и новее;
iPad Pro 12,9″ (3-го поколения и новее);
iPad Pro 11″ (1-го поколения и новее);
iPad Air 3-го поколения и новее;
iPad 8-го поколения и новее;
iPad mini 5-го поколения и новее.

С учётом подтверждённой эксплуатации откладывать обновление точно не стоит. Чтобы установить патч, достаточно зайти в «Настройки» → «Основные» → «Обновление ПО» и установить iOS 26.3 или iPadOS 26.3.

Даже если атака была таргетированной, практика показывает: инструменты, созданные для точечных операций, рано или поздно могут утечь или масштабироваться. В таких случаях лучшая стратегия — просто обновиться и закрыть вопрос.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »