Компания Google выпустила экстренный патч для Chrome, закрывающий уязвимость нулевого дня CVE-2025-13223 (8,8 балла по шкале CVSS). Это уже седьмая 0-day, которая эксплуатировалась в реальных атаках и была исправлена в браузере в этом году. Исправленная проблема связана с ошибкой типа type confusion в jаvascript-движке V8 и WebAssembly. О ней сообщил Клемент Лесинь (Clement Lecigne) из Google Threat Analysis Group — подразделения компании, которое отслеживает атаки проправительственных хакерских групп. Так, специалисты Google TAG регулярно выявляют 0-day-эксплоиты, используемые в шпионских кампаниях против журналистов, оппозиционных политиков и диссидентов. «Уязвимость type confusion в V8 в Google Chrome до версии 142.0.7444.175 позволяла удаленному злоумышленнику потенциально эксплуатировать повреждение хипа с помощью специально созданной HTML-страницы», — говорится в описании уязвимости в Национальной базе данных уязвимостей NIST (NVD). Сообщается, что баг мог использоваться для выполнения произвольного кода или провоцирования сбоев. Никаких подробностей об обнаруженных атаках на CVE-2025-13223 в компании пока не раскрывают. Google традиционно сообщает, что информация об уязвимостях и ссылки на них остаются закрытыми, пока большинство пользователей не установит обновление. Также ограничения сохраняются, если уязвимость затрагивает сторонние библиотеки, которые используют другие проекты. Патч для проблемы включен в версии 142.0.7444.175/.176 для Windows, 142.0.7444.176 для Mac и 142.0.7444.175 для Linux. Обычно Chrome обновляется автоматически, однако можно проверить версию вручную: Меню → Справка → О браузере Google Chrome. Отметим, что CVE-2025-13223 стала уже седьмой уязвимостью нулевого дня, находящейся под атаками и обнаруженной в Chrome в 2025 году. Для сравнения: в 2024 году Google исправила 10 0-day в Chrome, часть из которых была продемонстрирована на соревнованиях Pwn2Own, а остальные эксплуатировались в реальных атаках.