Google оголосив 9 вересня оновлення безпеки для Chrome, що виправляє дві відповідні вразливостіОдна класифікується як критична, а інша — як високосерйозна. Компанія рекомендує встановити патч якомога швидше, щоб мінімізувати ризик використання, особливо на повсякденних пристроях.
Про обидві помилки було повідомлено через програму винагород Google у серпні, і тепер вони мають офіційні ідентифікатори. CVE-2025-10200 (критика) та CVE-2025-10201 (високий). Хоча вплив різний, обидва варіанти відкривають шлях для сценаріїв атак, на які слід звернути увагу негайне оновлення.
Термінове оновлення в Chrome
Критичний збій, зафіксований як CVE-2025-10200, є помилкою використання після звільнення в компоненті ServiceWorker. Простіше кажучи, браузер намагається використовувати пам'ять вже звільнена, щось, що може спричинити пошкодження даних або дозволити довільне виконання коду якщо поєднувати з іншими техніками.
Зловмисник може створити шкідливий сайт таким чином, щоб під час відвідування через Chrome код виконувався на системі жертви. Цей вектор, заснований на спеціально розроблений веб-контент, робить цю вразливість пріоритетним виправленням для користувачів та організацій.
Друга невдача: високий рівень серйозності в Mojo
Друга вразливість, CVE-2025-10201, описується як неналежна реалізація в Mojo, наборі бібліотек, які Chromium використовує для міжпроцесної комунікації. Основний ризик полягає в тому, що зловмисник може послабити або поставити під загрозу пісочницю браузера, ключового компонента, який ізолює процеси, щоб обмежити масштаби експлойту.
Хоча не всі практичні наслідки були публічно детально описані, такі типи недоліків у Mojo можуть сприяти більш складним ланцюгам атак. Тому рекомендується негайно встановити патч та перевірте встановлену версію у всіх командах.
Виправлені версії та як їх оновити
Google випустив версії, які виправляють обидві помилки для Windows, macOS та Linux. Якщо ваш браузер не оновився автоматично, вам слід його оновити. переглянути та оновити вручну:
- Windows: 140.0.7339.127 / .128
- macOS: 140.0.7339.132 / .133
- Linux: 140.0.7339.127
Кроки для примусового оновлення в Chrome (комп'ютер): Меню > Довідка > Інформація про Google ChromeБраузер перевірить наявність останньої доступної збірки та, якщо вона є, почне завантаження.
- Відкрийте меню з трьома крапками у верхньому правому куті.
- Перейдіть до розділу «Довідка».
- Виберіть «Про Google Chrome».
- Дочекайтеся завантаження та натисніть Перезапустити за запитом.
Процес зазвичай триває лише кілька секундПісля перезавантаження перевірте, чи номер версії відповідає виправленим збіркам, щоб переконатися, що патч застосовано правильно.
Інші браузери на базі Chromium
Оскільки несправності знаходяться в компонентах Хром, як у браузерах Microsoft Edge, Brave, Opera або Vivaldi також можуть бути порушені. Їхні розробники зазвичай випускають патчі через 24-48 годин з моменту публікації Google, але гарною ідеєю буде перевірити це вручну.
Якщо ви користуєтеся одним із цих браузерів, перейдіть до його налаштувань і примусово перевірте наявність оновлень. Підтримка їх у актуальному стані значно зменшує ризик атаки та запобігає її виникненню. непотрібні проблеми безпеки.
Нагороди та хронологія відкриття
Звіт про критичну несправність надійшов з Лубен Ян 22 серпня, з винагородою, призначеною Google, у розмірі 43.000 XNUMX доларів. Про вразливість високого рівня серйозності повідомила Сахан Фернандо разом з анонімним дослідником, з винагородою в розмірі 30.000 XNUMX доларів.
Публічна заява Google була опублікована 9 вересня та містить детальну інформацію про те, що виправлення вже доступні. Офіційний спосіб отримати їх завжди — через сам засіб оновлення Chrome або веб-сайт googleуникайте сторонніх джерел.
Швидкі запитання
Чи впливає це на мобільну версію Chrome?
Згідно з наданою інформацією, сфера цих виправлень зосереджена на Windows, macOS та Linux настільні комп’ютери. Впливу на мобільні пристрої не виявлено.
Який ризик я отримую, якщо не оновлюся?
Ви можете наразити себе на ризик виконання коду або порушення ізоляції браузера, а також зниження продуктивності та порушення конфіденційності.
Чи потрібно мені також оновлювати розширення?
Вони не пов'язані з цими двома CVE, але рекомендується їх зберігати. завжди оновлюється щоб запобігти додатковим векторам атаки.
Ключ зараз простий: залишати браузери Chrome та Chromium на виправлених версіях, перевіряти встановлену збірку та використовувати лише офіційні джерелаЗавдяки застосуванню патчу ризик, пов'язаний з CVE-2025-10200 та CVE-2025-10201, зменшується в системах Windows, macOS та Linux.
