Выберите отрасль

ИТ-технологииИИ (AI)КибербезопасностьБизнесУстройстваФинансыОбществоТорговляРазвлеченияАвтоМедицинаПромышленностьТранспортТуризмПередовые технологииНедвижимостьЭнергетика
Октябрь 2025   |   Обзор события   | 6

Google заплатила критическую уязвимость в Chrome, но браузеры на Chromium всё ещё не обновились

Google исправила уязвимость CVE-2025-12036 в движке V8 браузера Chrome, доступную для версий 141.0.7390.122/123 на Windows, macOS, Linux и Android. Производители браузеров на базе Chromium, включая Microsoft Edge, Brave, Vivaldi и Opera, находятся в процессе обновления, при этом Vivaldi уже внедрил исправления в бета-версию 7.7, а Edge и Brave пока остаются на предыдущих версиях.

ИСХОДНЫЙ НАРРАТИВ

По данным Google, в браузере Chrome была исправлена уязвимость CVE-2025-12036 в движке V8, классифицированная как высокого риска. Патч затронул версии 141.0.7390.122/123 для Windows, macOS и Linux, а также Android. Уязвимость пока не используется в атаках, но требует немедленного обновления.

Синхронизация обновлений в экосистеме Chromium

Производители браузеров на базе Chromium, таких как Microsoft Edge, Brave, Vivaldi, и Opera, должны следовать обновлению. На момент публикации Edge и Brave работают на предыдущей версии безопасности, тогда как Vivaldi уже перевел бета-версию 7.7 на Chromium 142. Opera, в свою очередь, сократила очередь обновлений, выпустив версию 122 на базе Chromium 138, но пока не достигла актуальной версии 142.

Технические детали и тайминги

Google Big Sleep, ИИ-инструмент на базе Gemini, обнаружил уязвимость. Патч стал доступен 28 октября, когда запланирован релиз Chrome 142. В Extended Stable Channel для Windows и macOS пока остаётся версия 140.0.7339.249. Для Android исправления включены в версию 141.0.7390.122.

Риски и рекомендации

Отсутствие обновления в Extended Stable Channel указывает на то, что уязвимость CVE-2025-12036, вероятно, присутствует только в Chromium 141. Это снижает вероятность обновления Vivaldi в текущей неделе. Пользователям рекомендуется проверить обновления через «Help > About Google Chrome» или дождаться автоматической синхронизации.

Интересно: Как обеспечить синхронизацию обновлений в экосистеме Chromium, если задержки в релизах браузеров могут оставить системы уязвимыми даже после патчей?

Концептуальное изображение
Создано специально для ASECTOR
Концептуальное изображение

АНАЛИТИЧЕСКИЙ РАЗБОР

Уязвимость в движке V8 и риски для экосистемы Chromium: что важно для российского бизнеса

Парадокс обновлений: когда патч Google не защищает всех пользователей

Уязвимость CVE-2025-12036 в движке V8, исправленная Google 28 октября, демонстрирует ключевую проблему экосистемы Chromium: скорость распространения патчей зависит от внутренних процессов сторонних разработчиков. Хотя Google выпустил обновление для Chrome 142, браузеры на его основе, такие как Microsoft Edge и Opera, до сих пор используют уязвимые версии. Например, Edge и Brave работают на предыдущих релизах, а Opera даже после сокращения очереди обновлений не достигла актуальной версии 142. Это создает временные «зоны риска», где устройства остаются уязвимыми даже после патча Google.

Ключевой риск:

  • Задержки в обновлениях увеличивают вероятность эксплуатации уязвимости. Например, версия 140.0.7339.249 для Windows и macOS в Extended Stable Channel все еще актуальна, что означает, что пользователи этих каналов остаются в небезопасной среде.
  • Зависимость от автоматизации. Если пользователь не включил автоматическое обновление, он может не заметить уязвимость до атаки.

ИИ и безопасность: как технологии меняют подход к угрозам

Обнаружение уязвимости с помощью ИИ-инструмента Google Big Sleep (на базе Gemini) указывает на стратегический сдвиг в кибербезопасности. Использование ИИ позволяет сократить время между обнаружением и патчем, но эффективность этого подхода зависит от скорости интеграции обновлений другими участниками экосистемы.

Стартап TwinMind, используя расширение для Chrome, собирает контекстную информацию через активность в браузере. Такие инструменты, хотя и полезны, увеличивают поверхность атаки, если браузер не обновлен. Например, если расширение анализирует содержимое вкладок (Slack, Notion), уязвимость в движке V8 может стать вектором для утечки данных [!].

Риски для рынка:

  • Отставание в обновлениях. Opera, сократив очередь обновлений, всё ещё не дошла до актуальной версии 142. Это создаёт «разрыв» в защите между браузерами.
  • Сложности с Extended Stable Channel. Для Windows и macOS версия 140.0.7339.249 всё ещё актуальна, что означает, что уязвимость может быть эксплуатирована в устройствах, не обновлённых до 141.

Практические шаги для российского бизнеса

Для компаний, использующих браузеры на базе Chromium, важно:

  • Настроить автоматическое обновление через «Help > About Google Chrome» или корпоративные MDM-системы.
  • Мониторить версии браузеров в парке устройств. Особенно критично для систем, где задержки в обновлениях могут привести к утечке данных.
  • Оценить политику обновлений у поставщиков ПО. Например, если компания использует Edge, нужно учитывать, что его обновления происходят медленнее, чем у Chrome.

Риски для России:

  • Зависимость от иностранных экосистем. Браузеры на Chromium, включая Edge и Vivaldi, зависят от Google, что создаёт уязвимости в случае задержек с патчами.
  • Недостаток локальных альтернатив. Российские браузеры, такие как Яндекс.Браузер, также используют Chromium, поэтому их обновления будут подчиняться той же динамике.

Рекомендации:

  • Для корпоративных решений — рассмотреть использование браузеров с более строгими политиками обновлений или внедрение систем мониторинга уязвимостей в реальном времени.
  • Для частных пользователей — включить автоматическое обновление и регулярно проверять версию браузера.

Вывод: Уязвимость в движке V8 демонстрирует, что безопасность экосистемы зависит не только от Google, но и от скорости адаптации сторонних разработчиков. Для российского бизнеса критично минимизировать «разрыв» между обновлениями Google и локальными решениями.

Контакты Асектор ✉

Коротко о главном

Какие версии Chrome получили исправление?

Патч затронул версии 141.0.7390.122/123 для Windows, macOS, Linux и Android, а также включён в Android-версию 141.0.7390.122. Extended Stable Channel пока остаётся на версии 140.

Почему Vivaldi уже обновился, а Opera — нет?

Vivaldi перевёл бета-версию 7.7 на Chromium 142, в то время как Opera сократила очередь обновлений, выпустив версию 122 на базе Chromium 138, но не достигла актуальной версии 142.

Как обнаружили уязвимость CVE-2025-12036?

Google использовала ИИ-инструмент Big Sleep, основанный на модели Gemini, для выявления уязвимости, что позволило запустить патч до её потенциального использования в атаках.

Почему обновление Extended Stable Channel задерживается?

Версия 140.0.7339.249 остаётся актуальной в Extended Stable Channel, что указывает на отсутствие уязвимости в этой ветке, но оставляет системы на Chromium 141 уязвимыми до обновления.

Инфографика событий

Открыть инфографику на весь экран


Участники и связи

Отрасли: ИТ и программное обеспечение; Кибербезопасность

Темы: Взаимодействие элементов браузерных инфраструктур; Синхронизация модификаций;

Brave Software Google Chrome Microsoft Edge Vivaldi «Google Big Sleep Project» Программное обеспечение безопасности

Оценка значимости: 6 из 10

Событие связано с исправлением уязвимости в широко используемом браузере Chrome, что затрагивает российских пользователей, так как ПО распространено в стране. Масштаб аудитории региональный, а влияние ограничено технической сферой, не затрагивая экономику или социум. Последствия обратимы при обновлении, а срок воздействия краткосрочный. Уязвимость пока не эксплуатируется, что снижает её критичность.

Материалы по теме

Copilot для развлечений: бизнес теряет контроль над критическими решениями
Обзор события
Copilot для развлечений: бизнес теряет контроль над критическими решениями
Браузер стал главной точкой утечки данных в корпорациях
Обзор события
Браузер стал главной точкой утечки данных в корпорациях
Google отказывается от Privacy Sandbox из-за сопротивления рынка и монопольных подозрений
Обзор события
Google отказывается от Privacy Sandbox из-за сопротивления рынка и монопольных подозрений
Программа Procolored ошибочно помечена антивирусами: как избежать ложных срабатываний
Обзор события
Программа Procolored ошибочно помечена антивирусами: как избежать ложных срабатываний
Корпоративные данные под угрозой: критические уязвимости AI-браузеров
Обзор события
Корпоративные данные под угрозой: критические уязвимости AI-браузеров
Google избежал распада: суд потребовал делиться данными, но сохранил монополию
Обзор события
Google избежал распада: суд потребовал делиться данными, но сохранил монополию
Ассистент Gemini: рост ошибок и потеря базовых функций тормозят внедрение в бизнес
Обзор события
Ассистент Gemini: рост ошибок и потеря базовых функций тормозят внедрение в бизнес
TwinMind запустил революцию: ИИ-память для смартфонов

Упоминание расширения TwinMind для Chrome, собирающего контекстную информацию через активность в браузере (Slack, Notion), подчеркивает риски для безопасности, связанные с уязвимостью V8. Данные иллюстрируют, как инструменты сбора данных могут стать вектором утечек, если браузер не обновлен, усиливая тезис о зависимости экосистемы Chromium от скорости патчей.

Подробнее →
Сайт использует cookie-файлы и возможности Яндекс.Метрики. Продолжая пользоваться сайтом, вы подтверждаете свое согласие на использование файлов cookie и принимаете пользовательское соглашение.