В Google Chrome выявлено сразу 16 уязвимостей

Команда Chrome объявила о выходе стабильной версии Chrome 132 для Windows, Mac и Linux. Обновление будет постепенно разворачиваться в ближайшие дни и недели. Версия 132.0.6834.83 (Linux) и 132.0.6834.83/84 (Windows, Mac) включает ряд улучшений и исправлений. Подробный список изменений можно найти в журнале обновлений.

В ближайшее время на блогах Chrome и Chromium появятся статьи о новых функциях версии 132. Обновление также затрагивает расширенный стабильный канал, который обновится до версии 132.0.6834.83/84 (Windows, Mac).

В новой версии исправлены сразу 16 уязвимостей. Часть из них была выявлена внешними исследователями. Доступ к деталям может быть ограничен, пока большинство пользователей не обновят браузер, или если уязвимость затрагивает стороннюю библиотеку.

Ключевые уязвимости:

• CVE-2025-0434 — доступ вне границ памяти в V8. Найдено ddme 21 октября 2024 года. За обнаружение выплачено $7000.
• CVE-2025-0435 — некорректная реализация в Navigation. Найдено Alesandro Ortiz 18 ноября 2024 года. За обнаружение выплачено $7000.
• CVE-2025-0436 — целочисленное переполнение в Skia. Найдено Han Zheng (HexHive) 8 декабря 2024 года. За обнаружение выплачено $3000.
• CVE-2025-0437 — чтение вне границ в Metrics ($2000). Найдено Xiantong Hou и Pisanbao 12 ноября 2024 года.
• CVE-2025-0438 — переполнение стека в Tracing. Найдено Han Zheng (HexHive) 15 декабря 2024 года.

Средние по критичности уязвимости включают проблемы в механизме Frames, Fullscreen, Fenced Frames, Payments и Extensions, с вознаграждениями от $1000 до $5000. Уязвимости низкой критичности связаны с недостаточной валидацией данных и некорректными реализациями в нескольких компонентах.

Команда Chrome также отметила вклад внутренних проверок, аудитов и инструментов, таких как AddressSanitizer, MemorySanitizer и других, для устранения багов до их попадания в стабильную версию.