**Актуально на 20 сентября 2025**
Google выпустила внеплановое обновление Chrome, устраняющее уязвимость нулевого дня в движке V8 (тип type confusion). Компания официально подтвердила наличие эксплойта «в дикой природе», а значит, дыра уже используется в реальных целевых атаках. Исправления развёрнуты в ветках 140.0.7339.185/.186 для Windows/Mac и 140.0.7339.185 для Linux; обновление поставляется поэтапно и требует перезапуска браузера.
Почему это важно прямо сейчас. Эксплойты к V8 дают атакующим возможность добиться выполнения кода в рамках процесса рендеринга страницы и затем попытаться «вырваться» за его пределы, комбинируя баги с обходами изоляции или уязвимостями в графических/системных компонентах. Исторически такие цепочки применяются против журналистов, инженеров ИБ, активистов, корпоративных пользователей — всех, у кого на машине есть доступ к интересной переписке, ключам и внутренним ресурсам.
**Что делать предприятиям**
– Принудительно обновить Chrome и Chromium‑совместимые браузеры (включая Яндекс.Браузер/Edge на движке Blink) через MDM/GPO.
– На серверах VDI и терминалах — убедиться, что сессии действительно перезапущены.
– Временные меры снижения риска до обновления: отключить/ограничить работу расширений, запретить посещение неизвестных ресурсов из админ‑профилей, включить изоляцию сайтов (Site Isolation) и строгую политику загрузок.
– Мониторинг: искать аномальные сбои движка, падения GPU‑процесса, всплески сетевых соединений от рендер‑процессов к нетипичным доменам, а также попытки запуска дочерних процессов за пределами «песочницы».
**Что делать пользователям**
– Обновить браузер и перезапустить его (меню → «О браузере Google Chrome» → дождаться установки).
– Проверить, не включена ли автозагрузка подозрительных расширений; отключить всё лишнее.
– Не открывать неизвестные ссылки из мессенджеров и e‑mail, особенно с «сенсационными» заголовками.
**Контекст.** Это уже шестой 0‑day в Chrome, закрытый в 2025 году. Серийность подобных релизов — плохая, но честная новость: чем активнее TAG и партнёры вскрывают эксплуатацию в реальном мире, тем быстрее уязвимости получают исправления. Защитная стратегия остаётся прежней: своевременные обновления, минимизация прав и сегментация доступа.
Источник: Xakep.ru
