Google экстренно закрыла опасную 0-day-уязвимость в движке V8 для Chrome — и сделала это не просто так, а потому что баг уже активно эксплуатируется в реальных атаках. Речь идёт о CVE-2025-6554 — типичная, но крайне неприятная уязвимость типа type confusion. Если коротко: через специально подготовленную страницу злоумышленник может запустить произвольный код, получить доступ к памяти браузера, а дальше — по ситуации: от шпионского софта до перехвата учётных данных.
Обнаружил дыру Клеман Лесинь из команды Google TAG, которая как раз занимается отслеживанием кибершпионских группировок и APT-операций. Судя по всему, уязвимость уже применяют в интересах серьёзных игроков — от киберпреступников до госструктур.
Проблема затрагивает всех, кто пользуется Chrome версий до 138.0.7204.96 для Windows и Linux или до 138.0.7204.92 для macOS. Более того, это потенциально касается всех браузеров на базе Chromium — включая Edge, Brave, Opera, Vivaldi. Обновления для них выйдут отдельно, но суть одна — если откроете заражённый сайт, можете даже не понять, что что-то произошло.
Type confusion — это не просто сбой. Такая ошибка позволяет программе неправильно интерпретировать данные в памяти, из-за чего нарушается её работа и появляется возможность выполнения стороннего кода. Это классика для атак drive-by download, когда вредонос ставится без вашего участия. Или для тихой установки шпионских расширений. Или для кражи данных из браузера.
Важно: уязвимость уже используется в реальных атаках. Это не гипотетическая дыра, которую кто-то когда-нибудь найдёт — эксплойт уже «гуляет» по сети. Google, по традиции, не раскрывает технических деталей до массового обновления, чтобы не упростить работу злоумышленникам. Но факт того, что патч вышел экстренно, говорит сам за себя.
Обновляться нужно срочно. Для Chrome — до последней версии, указанной выше. Проверяется это через настройки → справка → о браузере. Если обновление не прилетело автоматически — стоит форсировать его вручную.
И да, даже если всё работает и ничего подозрительного не происходит — это не повод игнорировать апдейт. Уязвимость уже используют. Особенно внимательными стоит быть компаниям и организациям — там риск целевых атак выше.
Это уже четвёртый критический 0-day в Chrome за полгода. И тренд очевиден: браузеры давно стали ключевой точкой входа для атак. Потому что достаточно одной вкладки — и защита превращается в иллюзию.