CVE-2025-14174
Google Chromium
2025-12-12
Google Chromium contains an out of bounds memory access vulnerability in ANGLE that could allow a remote attacker to perform out of bounds memory access via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2025-14174 представляет собой ошибку выхода за границы памяти (Out-of-Bounds Memory Access) в компоненте ANGLE (Almost Native Graphics Layer Engine), который используется в движке Google Chromium для трансляции графических вызовов (например, WebGL в DirectX/OpenGL/Vulkan).
Вектор атаки: Удаленный. Злоумышленнику достаточно заманить пользователя на специально подготовленную вредоносную HTML-страницу. Последствия: При успешной эксплуатации уязвимость приводит к повреждению памяти. Это может вызвать аварийное завершение работы браузера (Denial of Service), а также создать условия для выполнения произвольного кода (RCE) в контексте песочницы браузера. Затронутые продукты: Все веб-браузеры на базе движка Chromium, включая Google Chrome, Microsoft Edge, Opera, Vivaldi, Brave и Яндекс Браузер.
Как исправить
Единственным надежным способом устранения уязвимости является обновление браузеров до актуальной версии, в которой вендоры применили патч для компонента ANGLE.
Для системных администраторов (Enterprise): * Инициируйте внеочередное обновление браузеров через системы управления конфигурациями (SCCM, Intune, Ansible). * Убедитесь, что политики автоматического обновления браузеров (Google Update, Microsoft Edge Update) включены и не блокируются на уровне сети.
Команды для принудительного обновления:
Для Windows (через Winget):
winget upgrade Google.Chrome
winget upgrade Microsoft.Edge
Для Linux (Debian/Ubuntu):
apt update && apt install --only-upgrade google-chrome-stable
Для Linux (RHEL/CentOS/AlmaLinux):
dnf upgrade google-chrome-stable
Для macOS (через Homebrew):
brew upgrade --cask google-chrome
Временные меры
Если оперативное обновление невозможно (например, из-за тестирования совместимости внутренних систем), необходимо применить компенсирующие меры. Поскольку уязвимость находится в графическом компоненте ANGLE, отключение аппаратного ускорения и WebGL минимизирует риск эксплуатации.
1. Запуск браузера с безопасными флагами: Вы можете принудительно отключить WebGL и использование GPU при запуске браузера через ярлыки или скрипты.
Для Windows:
chrome.exe --disable-webgl --disable-gpu
Для Linux:
google-chrome --disable-webgl --disable-gpu
2. Применение групповых политик (GPO):
Для централизованной защиты корпоративной сети настройте политики браузеров:
* Google Chrome: Установите политику HardwareAccelerationModeEnabled в значение false.
* Microsoft Edge: Установите политику HardwareAccelerationModeEnabled в значение false.
* Дополнительно можно заблокировать WebGL через политику DefaultWebGlSetting (установить значение 2 — блокировка).
3. Сетевая фильтрация: * Обеспечьте блокировку известных вредоносных доменов и IP-адресов на уровне корпоративного DNS или Proxy/SWG. * Включите строгий режим Google Safe Browsing / Microsoft Defender SmartScreen для предотвращения перехода пользователей на фишинговые и вредоносные сайты.