Компания Google устранила критическую уязвимость типа use-after-free в браузере Chrome, которая могла привести к выполнению кода. Обнаруживший ее ИБ-специалист получил вознаграждение по программе bug bounty в размере 43 000 долларов США. На этой неделе вышло обновление Chrome, которое исправило сразу две проблемы, обнаруженные внешними исследователями. Критическая ошибка в компоненте Serviceworker, за которую была выплачена упомянутая награда, получила идентификатор CVE-2025-10200 и была найдена независимым багхантером Лубеном Янгом (Looben Yang). Проблема описывается как use-after-free, и такие типы уязвимостей возникают, когда программа пытается получить доступ к уже освобожденной памяти. Эксплуатация таких ошибок, как правило, ведет к помещению в освобожденную память вредоносного кода, что потенциально позволяет добиться выполнения произвольного кода и полной компрометации системы. Также в браузере исправили уязвимость CVE-2025-10201, обнаруженную Саханом Фернандо (Sahan Fernando) и анонимным исследователем. Эта проблема была связана с некорректной имплементацией в Mojo, и за нее Google выплатила специалистам вознаграждение в размере 30 000 долларов США. Хотя разработчики браузера не сообщают об эксплуатации этих уязвимостей в реальных атаках, пользователям рекомендуется обновить свои браузеры как можно скорее. Патчи вошли в Chrome версии 140.0.7339.127/.128 для Windows, версии 140.0.7339.132/.133 для macOS и 140.0.7339.127 для Linux. Хотя полученные исследователями суммы были весьма существенными, напомним, что в прошлом месяце багхантер под ником Micky получил рекордное вознаграждение от Google. Специалист обнаружил баг в Chrome, который позволял обойти песочницу браузера, и заработал 250 000 долларов США по программе bug bounty.