Аварийный патч Chrome Stable (140.0.7339.185/.186) исправляет активно эксплуатируемую уязвимость нулевого дня V8

Ключевое обновление

Google выпустил аварийное обновление Stable (Chrome 140.0.7339.185/.186) 17–18 сентября 2025 года, которое исправляет четыре уязвимости высокой степени серьезности — наиболее критично CVE‑2025‑10585, ошибка путаницы типов в движке V8 JavaScript/WebAssembly, которая активно эксплуатируется в дикой природе. Выпуск также устраняет переполнение буфера кучи в ANGLE и ошибки использования после освобождения в WebRTC и Dawn (WebGPU). (theregister.com)

Почему это важно

Это не обычное обновление браузера: активная эксплуатация уязвимости V8 означает, что простое посещение специально подготовленного контента может привести к выполнению произвольного кода. Практическое влияние на разработчиков:

• Немедленно обновите машины разработчиков и CI-работников, которые запускают графический интерфейс или headless Chromium (локальные браузеры, исполнители Playwright/Puppeteer, сканирования Lighthouse/axe).
• Пересоберите и обновите CI-образы, которые включают Chromium/Chrome (Docker-образы, используемые для E2E тестов, безбраузерные контейнеры или любые автоматизированные исполнители скриншотов/тестов), чтобы пайплайны не выполняли тесты с уязвимыми бинарными файлами.
• Если ваш стек включает Chromium или V8 (headless-сервисы, определенные тестовые среды или сторонние компоненты), проверьте обновления от поставщиков и примените их; не предполагайте, что Node затронут, если версия V8 не соответствует исправленному диапазону. Выполнение этих действий снижает риск для рабочих станций разработчиков, секретов CI и автоматизированной инфраструктуры, которая регулярно загружает веб-контент.

Источник

• Источник