Разработчики Chrome выпустили мажорную версию 133 для Windows, macOS и Linux, представив ряд обновлений и патчи для двенадцати уязвимостей в популярном браузере.
В этот раз Google сделала упор именно на устранении опасных уязвимостей, получивших идентификаторы CVE-2025-0444 и CVE-2025-0445.
Обновление, которое уже должно быть доступно пользованьям, — Chrome 133.0.6943.53 для Linux и 133.0.6943.53/54 для Windows и macOS. В нём устраняются уязвимости типа use-after-free (использование памяти после её освобождения): одна в Skia, другая — в V8.
Эти бреши получили высокую степень риска, поскольку могут позволить злоумышленникам выполнять произвольный код на устройстве пользователя.
Первая уязвимость, CVE-2025-0444, связана с использованием после освобождения в Skia — графической библиотеке, отвечающей за рендеринг изображений и визуальных элементов в Chrome.
Её в январе обнаружил исследователь Франциско Алонсо (ник в X — @revskills), за что получил вознаграждение в размере 7000 долларов в рамках программы Chrome по поиску уязвимостей.
Ошибки типа use-after-free возникают, когда программа пытается обратиться к уже освобождённой памяти, что может привести к непредсказуемым последствиям, включая возможность выполнения вредоносного кода.
Вторая уязвимость, CVE-2025-0445, нашлась в движке JavaScript V8, связана с использованием памяти после её освобождения. О ней сообщил анонимный исследователь под ником «303f06e3». Учитывая ключевую роль V8 в обработке JavaScript, эксплуатация этой уязвимости могла бы привести к серьезным последствиям.
Кроме того, разработчики заркыли уязвимость средней степени риска (CVE-2025-0451) в API для расширений Chrome.
