15 июля 2025 года Google выпустил Chrome 138.0.7204.157/.158 для Windows, macOS и Linux. Основное внимание уделено устранению шести критических уязвимостей, включая активно эксплуатируемую CVE‑2025‑6558, связанную с библиотеками ANGLE и GPU. Распространение обновления займёт несколько дней, но Google крайне рекомендует установить его как можно быстрее.
Официальный релиз и технические разъяснения доступны на сайте Google Chrome Releases.
Технические детали CVE‑2025‑6558
- Описание: Недостаточная проверка недоверенных входных данных в модулях ANGLE и GPU позволяла удалённому злоумышленнику обойти песочницу браузера при помощи специально сформированного HTML-файла.
- Оценка риска: CVSS 3.1 с рейтингом 8.8 – High, вектор: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H.
- Применение: Это уже пятая zero-day-уязвимость в Chrome в 2025 году.
Основные исправления
- CVE‑2025‑6558: активный эксплойт, высокий риск обхода песочницы.
- CVE‑2025‑7656 (V8, integer overflow): ошибка выявлена Shaheen Fazim, награда — $7 000.
- CVE‑2025‑7657 (WebRTC, use-after-free): обнаружена jakebiles.
- Кроме того, исправлены другие сбои, выявленные fuzzing-тестами и внутренними проверками (ID 431819349).
Рекомендации:
Пользователям следует немедленно обновить Chrome до версии 138.0.7204.157/.158 на всех устройствах. Уязвимость CVE‑2025‑6558 активна в реальных атаках, и её эксплуатация может привести к обходу песочницы и компрометации системы.Официальный релиз и технические разъяснения доступны на сайте Google Chrome Releases.
