CVE-2025-6558
Google Chromium
2025-07-22
Google Chromium contains an improper input validation vulnerability in ANGLE and GPU. This vulnerability could allow a remote attacker to potentially perform a sandbox escape via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.
Технический анализ и план устранения
Суть уязвимости
CVE-2025-6558 представляет собой критическую брешь в компонентах ANGLE (Almost Native Graphics Layer Engine) и GPU браузера Chromium. Проблема вызвана некорректной валидацией входных данных (Improper Input Validation).
Злоумышленник может создать вредоносную HTML-страницу, которая при рендеринге вызывает повреждение памяти в графическом стеке. Это позволяет выполнить произвольный код и, что наиболее опасно, осуществить побег из песочницы (sandbox escape). Уязвимость затрагивает все браузеры на движке Chromium: Google Chrome, Microsoft Edge, Opera, Brave и Vivaldi.
Как исправить
Основным и единственным надежным способом устранения является обновление версии браузера до актуальной, где применены патчи безопасности.
Для Google Chrome (Windows, macOS, Linux): 1. Откройте меню (три точки в углу). 2. Перейдите в Справка -> О браузере Google Chrome. 3. Дождитесь завершения загрузки обновления и нажмите Перезапустить. Версия должна быть не ниже 132.0.6834.159/160.
Для системных администраторов (Linux/APT):
sudo apt update && sudo apt install --only-upgrade google-chrome-stable
Для Microsoft Edge:
1. Перейдите в edge://settings/help.
2. Браузер автоматически проверит наличие обновлений.
3. Перезапустите браузер.
Для корпоративных сред (PowerShell - принудительное обновление Edge):
Start-Process "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -ArgumentList "/silent /install"
Временные меры
Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки путем отключения аппаратного ускорения и изоляции графических процессов.
1. Отключение аппаратного ускорения (через флаги запуска): Это отключит использование ANGLE и снизит риск эксплуатации уязвимости в GPU-процессе.
google-chrome --disable-gpu --disable-software-rasterizer
2. Запуск с усиленной изоляцией (Site Isolation): Хотя уязвимость нацелена на побег из песочницы, принудительная изоляция каждого сайта может затруднить эксплуатацию.
google-chrome --site-per-process
3. Ограничение доступа к WebGL: Поскольку ANGLE отвечает за трансляцию вызовов WebGL, рекомендуется временно отключить WebGL в настройках браузера или через групповые политики (GPO) для корпоративных пользователей, чтобы заблокировать вектор атаки через графический рендеринг.