Компания Google выпустила внеплановое обновление для браузера Chrome, которое устраняет сразу три уязвимости. Одна из этих проблем уже активно эксплуатируется злоумышленниками.
Уязвимость, которой уже пользуются хакеры, получила идентификатор CVE-2025-5419 (8,8 балла по шкале CVSS) и описывается как проблема out-of-bounds чтения и записи в JavaScript-движке V8 и WebAssembly.
«Out-of-bounds чтение и запись в V8 в Google Chrome до версии 137.0.7151.68 позволяют удаленному злоумышленнику нарушить целостность хипа с помощью специально подготовленной HTML-страницы», — гласит описание ошибки в Национальной базе данных уязвимостей NIST (NVD).
Google сообщает, что ошибку обнаружили специалисты Google Threat Analysis Group (TAG) и сообщили о ней 27 мая 2025 года. Подчеркивается, что проблема была устранена на следующий день, и в стабильную версию браузера были внесены необходимые изменения для всех платформ.
Пока не раскрывается никаких подробностей о характере атак и хакерах, использующих уязвимость.
Пользователям рекомендуется как можно скорее обновить Chrome до версии 137.0.7151.68 и 137.0.7151.69 для Windows и macOS, а также до версии 137.0.7151.68 для Linux.
CVE-2025-5419 стала второй активно используемой уязвимостью нулевого дня, исправленной Google в 2025 году. Напомним, что первая проблема (CVE-2025-2783) была выявлена «Лабораторией Касперского» и использовалась в атаках на российские организации.
