- Инженер команды Yandex Security Team Павел Кузьмин обнаружил критическую уязвимость CVE-2025-9864 в движке V8 проекта Chromium, разработанном Google.
- Уязвимость относится к типу Use-After-Free и позволяет удалённо выполнять произвольные действия через специально созданную HTML-страницу.
- Исправление было интегрировано в сентябрьское обновление V8; версия браузера Chrome до 140.0.7339.80 требует срочного обновления.
Эксперт по информационной безопасности из Yandex Security Team, Павел Кузьмин, выявил серьёзную уязвимость в движке V8, являющемся неотъемлемой частью проекта Chromium от Google. Уязвимость, определённая как CVE-2025-9864, относится к классу Use-After-Free (UAF). Этот тип ошибки позволяет злоумышленнику, используя тщательно сконструированную HTML-страницу, удалённо выполнять действия в браузере на компьютере жертвы, что представляет значительную угрозу безопасности пользователей.
После обнаружения проблема была оперативно устранена: Кузьмин предложил патч, который был интегрирован в сентябрьское обновление V8. Разработчики Google рекомендуют срочно обновить браузер Chrome до версии 140.0.7339.80 либо выше, чтобы избежать эксплуатации уязвимости.
Отмечается, что в Yandex используют собственные версии движка V8, они не применяют уязвимую версию в браузере «Яндекс». В компании уделяют особое внимание безопасности, регулярно интегрируя обновления и проверяя код сторонних разработчиков, чтобы защитить пользователей. Такой подход обеспечивает высокий уровень надёжности продуктов, даже когда используются компоненты с открытым исходным кодом.
Помимо реагирования на найденные уязвимости, специалисты «Яндекса» активно вносят вклад в развитие проекта Chromium и его движка V8. С 2013 года команда «Яндекс Браузера» интегрировала примерно 1,5 тысячи исправлений и улучшений в основной ветке проекта, что свидетельствует о высоком уровне сотрудничества с Google и приверженности развитию безопасного и эффективного браузерного движка.
Таким образом, обнаружение уязвимости CVE-2025-9864 и её скорейшее исправление подчеркнули важность совместных усилий в сообществе разработчиков с открытым исходным кодом и привели к повышению безопасности одного из самых популярных браузерных движков в мире.
