Срочно: Chrome 138 исправляет несколько уязвимостей V8/ANGLE/GPU высокой степени серьезности — как минимум одна нулевая уязвимость была использована

Ключевое обновление

В июле 2025 года Google выпустил обновления стабильного канала Chrome 138.x, которые исправляют несколько уязвимостей высокой степени серьезности в компонентах V8 и GPU/ANGLE; как минимум одна из этих уязвимостей была активно использована в дикой природе. Исправления уже внедрены в стабильный канал Chrome, и обновления от поставщиков для других браузеров на базе Chromium и дочерних проектов (безголовый Chromium, используемый Puppeteer/Playwright, Electron, образы CI Docker и т. д.) следуют за ними.

Почему это важно

Это реальный операционный риск для разработчиков и CI-систем: уязвимости V8/GPU могут быть вызваны специально подготовленным веб-контентом и использовались для целевых атак, что означает, что как машины разработчиков (браузеры, используемые для тестирования или серфинга), так и инфраструктура автоматизации, которая запускает безголовый Chromium или встраивает Chromium (приложения Electron, тестовые раннеры, сервисы для скриншотов, краулеры), подвержены риску до обновления. Практически вам следует (1) обновить локальные установки Chrome и любые браузеры на базе Chromium на рабочих станциях разработчиков; (2) пересобрать и развернуть любые образы CI или контейнеры Docker, которые включают безголовый Chromium, и обновить зафиксированные версии Chromium/Electron, используемые в тестах или производстве; и (3) отслеживать рекомендации поставщиков для Playwright/Puppeteer/Electron и применять их исправленные версии. Рассматривайте это как день с высоким приоритетом для патчей — задержка обновлений рискует привести к удаленному выполнению кода или побегам из песочницы через веб-контент, который обрабатывают ваши инструменты.

Источник

• Источник