Chrome 143 закрывает 13 уязвимостей, включая критический баг в V8

Google выпустила Chrome 143 для Windows, macOS и Linux; релиз содержит важный патч. В новой версии (143.0.7499.40 для Linux и 143.0.7499.40/41 для Windows и macOS) закрыто 13 уязвимостей, включая критическую брешь в движке JavaScript V8 — CVE-2025-13630, проблема путаницы в типах данных (Type Confusion).

CVE-2025-13630 обнаружил исследователь в области кибербезопасности Шреяс Пенкар (@streypaws), Google выплатила ему $11 000.

Type Confusion — любимая цель создателей эксплойтов, потому что такие ошибки иногда позволяют выйти за пределы песочницы браузера и выполнить сторонний код. Поэтому вышедший патч — один из самых важных в релизе.

Помимо V8, в обновлении закрыты и другие серьёзные проблемы:

• CVE-2025-13631 (Google Updater) — некорректная реализация в компоненте обновлений, найденная исследователем Йота Домингос. За эту находку Google выдала $3 000. Ошибка могла позволить локальному атакующему вмешаться в процесс обновления или повысить привилегии.
• CVE-2025-13633 (Digital Credentials) — Use-After-Free, обнаруженный внутренней командой Google. Такие ошибки часто ведут к сбоям или выполнению кода.
• CVE-2025-13632 (DevTools) — уязвимость высокой степени риска в инструментах разработчика, найденная Леандро Телесом. Размер вознаграждения пока не объявлен.

Как обычно, Google пока скрывает подробности уязвимостей, чтобы снизить риск их эксплуатации в атаках до того, как пользователи обновятся.