Google выпустила экстренное обновление для Chrome, устраняющее критическую уязвимость CVE-2025-9478в библиотеке ANGLE. Ошибка типа use-after-free , обнаруженная 11 августа командой Google Big Sleep, позволяет атакующему выполнить произвольный код через специально подготовленные WebGL- или Canvas-операции. Достаточно посещения вредоносной страницы, чтобы браузер переписал память и запустил чужой код с правами текущего пользователя. Такой сценарий открывает дорогу к установке вредоносного ПО, краже данных и дальнейшему проникновению в корпоративные сети, что особенно опасно для компаний и ценных целей.
Обновления доступны в Chrome Stable 139.0.7258.154/.155 для Windows и macOS, а также 139.0.7258.154 для Linux. Распространение происходит автоматически, но Google настоятельно рекомендует ускорить установку. Администраторам корпоративных систем предлагаются MSI-пакеты и Enterprise Bundle для развёртывания в средах с жёстким управлением изменениями.
Проблема кроется в компоненте ANGLE, который транслирует вызовы OpenGL ES в нативные графические API. Из-за ошибки освобождённая память может быть использована повторно, а злоумышленник способен подменить её содержимое. При успешной атаке выполняется произвольный код, что превращает уязвимость в удобный инструмент для drive-by-атак : достаточно одного визита на заражённый сайт. Потенциальные последствия включают внедрение шпионских программ, шифровальщиков и других инструментов для закрепления в инфраструктуре жертвы.
Google советует администраторам не откладывать обновления и дополнительно отслеживать прокси-и endpoint-логи на предмет аномалий, связанных с WebGL и графическими API. Также рекомендуется жёстко соблюдать принцип минимальных привилегий и предупреждать пользователей об опасности переходов по неизвестным ссылкам, особенно содержащим интерактивный графический контент.
Подробности эксплуатации CVE-2025-9478пока не раскрываются, чтобы дать время большинству пользователей обновиться. Компания подчёркивает важность внешних сообщений об ошибках и продолжает выплачивать вознаграждения за найденные баги, укрепляя сотрудничество между исследователями и разработчиками в защите открытых проектов.