Помилка аудіо в Google Chrome 136 дозволяє хакерам дистанційно встановлювати шкідливе ПЗ

У версії Chrome 136 виявили критичну вразливість, що відкриває можливість для віддаленого запуску шкідливого коду. Google уже випустив оновлення безпеки. Про це пише американський Forbes. 

Що сталося

У браузері Google Chrome версії 136 виявили критичну вразливість безпеки — CVE-2025-4372. Вона дозволяє хакерам запускати шкідливий код на пристрої користувача без його дозволу. Проблема стосується компонента WebAudio і є вразливістю типу use-after-free — це тип помилки керування пам’яттю, що може бути використаний для повного контролю над системою.

Щоб скористатися вразливістю, достатньо, аби користувач відкрив шкідливо створену сторінку у Chrome. Жодні спеціальні дозволи або дії від користувача не потрібні. Відтак, будь-який сеанс перегляду вебу може стати потенційною загрозою, якщо вразливість буде використано зловмисниками.

CVE-2025-4372 має офіційний рейтинг критичності 9.8 із 10. Проте Google класифікувала її як «помилку середньої важливості», що викликало хвилю критики у професійній спільноті. За словами експертів, занижена оцінка ризику може призвести до того, що користувачі не сприйматимуть загрозу достатньо серйозно й не оновлять браузер вчасно.

Що далі

Google вже випустив оновлення Chrome із патчем для цієї вразливості. Для Windows та macOS це версії 136.0.7103.92 і 136.0.7103.93, для Linux — 136.0.7103.92, а для Android — 136.0.7103.87. Компанія зазначає, що оновлення буде автоматично розповсюджено найближчими днями й тижнями.

Втім, користувачам радять самостійно перевірити, чи встановлено оновлення, перейшовши в меню браузера: «Довідка» → «Про Google Chrome». Якщо патч ще не завантажився — Chrome зробить це автоматично після перевірки.