Киберэксперт Спицын: два zero-day-эксплойта в Chrome угрожают пользователям

«Первый активно используемый zero-day в этом году (CVE-2025-2783) и вторая уязвимость, обнаруженная в конце мая (CVE-2025-5419), затрагивают движки рендеринга и интерпретации кода в браузере Chrome, — поясняет киберэксперт. — Первая, найденная отечественными исследователями в марте 2025 года, заключается в некорректном предоставлении дескриптора в IPC-библиотеке Mojo на Windows, что позволяло злоумышленникам из внешней среды выводить процесс из песочницы и получать повышенные привилегии внутри системы. Вторая ошибка, обнаруженная командой Google Threat Analysis Group 27 мая 2025 года, представляет собой выход за границы буфера (out-of-bounds read/write) в движке V8 при обработке JavaScript с вредоносной HTML-страницы. Оба дефекта активно эксплуатировались в "диких" атаках: первая нацелилась на организации в России, вторая обнаружена в эксплуатации до официального релиза патча, что заставило Google выпустить внеплановое обновление уже 28 мая 2025 года. Распространение патча до всех стабильных веток Chrome (версия 137.0.7151.68/.69 для Windows и Mac, 137.0.7151.68 для Linux) началось незамедлительно, однако подробностей об используемых эксплойтах и самих злоумышленниках компания традиционно не разглашает».

Специалист отметил, что причины появления и успешного применения таких уязвимостей кроются в сложности современных браузерных механизмов — комбинации движков рендеринга Blink и интерпретатора V8, а также в растущей популярности Chromium как основы для сторонних браузеров, что делает их приоритетной целью для атак. Ошибка Mojo отражает уязвимость в межпроцессном взаимодействии, позволяющую обойти границы песочницы и запустить произвольный код с повышенными правами. Уязвимость в V8 возникла из-за недочётов в проверке границ буфера, что атакующие могли использовать, чтобы вызвать повреждение кучи и выполнить вредоносный payload. Факторы, способствующие их успеху, — это высокая распространённость Chrome среди корпоративных и частных пользователей, а также медленный процесс распространения обновлений в средах с жёсткими IT-политиками, где администраторы откладывают установку патчей, опасаясь возможных несовместимостей.

Михаил Спицын добавил: «Уязвимости нулевого дня в браузере обходят все привычные механизмы защиты: сайты или почтовые вложения, которые кажутся безопасными, на самом деле запускают код, способный вывести процесс из песочницы и выполнить произвольные действия на компьютере. Поскольку браузер — одно из наиболее часто используемых приложений, такая дыра распространяется мгновенно на сотни тысяч рабочих мест и буквально в считаные часы ставит под угрозу всю корпоративную сеть. Чтобы этого избежать, можно применить технологию Remote Browser Isolation (RBI). С помощью, например, Ankey RBI весь браузерный сеанс пользователя запускается в удалённой изолированной среде: когда сотрудник открывает веб-страницу, взаимодействие с ней происходит на стороне облака или специализированного серверного кластера, а в корпоративную сеть попадает лишь "безопасный" визуальный поток и события ввода. Даже если злоумышленник попытается загрузить эксплойт для CVE-2025-5419 или любой другой zero-day, вредоносный код не сможет проникнуть на локальный компьютер — вся его обработка и возможная компрометация остаются в контролируемой изоляции. При появлении подозрительных действий система RBI мгновенно останавливает сессию, предотвращая дальнейшее распространение угрозы».