Компания Google выпустила внеочередное обновление безопасности для своего браузера Chrome, направленное на устранение десяти опасных уязвимостей, три из которых имеют критический уровень опасности. Развёрнутое 3 марта 2026 года, это обновление стабильного канала распространения призвано защитить миллионы пользователей по всему миру от потенциальных атак, которые могли бы позволить злоумышленникам выполнить произвольный код на целевых системах или полностью скомпрометировать их. Событие подчёркивает непрекращающуюся гонку вооружений в цифровой среде, где даже самый популярный в мире браузер требует постоянной бдительности и оперативного реагирования на новые угрозы.
Детали уязвимостей
Обновление постепенно распространяется в течение нескольких дней. Пользователям операционных систем Windows и macOS рекомендуется ожидать версии 145.0.7632.159 или 160, в то время как для Linux-систем предназначена версия 145.0.7632.159. Важно отметить, что Google придерживается своей стандартной практики в области безопасности, ограничивая доступ к полным техническим деталям обнаруженных проблем до тех пор, пока большинство пользовательской базы не установит патч. Эта мера предосторожности, известная как скоординированное раскрытие уязвимостей, призвана предотвратить ситуацию, когда злоумышленники могут быстро создать и распространить эксплойты, используя опубликованную техническую информацию, до того как системы будут защищены.
В центре внимания этого патча оказались серьёзные ошибки управления памятью и реализации в ключевых компонентах Chrome. Три критические уязвимости включают в себя целочисленные переполнения в графических движках ANGLE и Skia, а также проблему с жизненным циклом объектов в компоненте PowerVR. Целочисленное переполнение - это классическая ошибка программирования, когда результат арифметической операции превышает максимальное значение, которое может хранить переменная. Это может привести к непредсказуемому поведению программы, повреждению данных в памяти и, что наиболее опасно, предоставить атакующему возможность выполнить собственный вредоносный код. Проблемы с жизненным циклом объектов, в свою очередь, часто связаны с некорректным созданием, использованием или удалением объектов в памяти, что также открывает двери для атак, направленных на захват контроля над процессом.
Примечательно, что все эти уязвимости были обнаружены независимыми исследователями безопасности в рамках программы Bug Bounty от Google. За обнаружение критической уязвимости в компоненте ANGLE исследователь под псевдонимом cinzinga получил вознаграждение в размере 33 000 долларов. В свою очередь, Чжихуа Яо из лаборатории KunLun Lab был награждён суммой в 32 000 долларов за выявление проблемы в PowerVR. Третья критическая уязвимость в Skia была найдена Симеоном Параскудисом, размер вознаграждения по которой уточняется. Google отдельно отметил, что многие из этих ошибок были выявлены с помощью продвинутых инструментов санитизации памяти, таких как AddressSanitizer и libFuzzer, что демонстрирует важность интеграции подобных технологий в процесс разработки для proactive-обнаружения дефектов.
Помимо критических, обновление устраняет семь уязвимостей высокой степени опасности. Среди них - некорректные реализации в модулях WebAudio, CSS, WebAssembly и в самом движке V8, отвечающем за выполнение JavaScript. Также была исправлена уязвимость типа «переполнение буфера в куче» в компоненте WebCodecs и проблема недостаточной проверки данных в подсистеме навигации. Последняя была обнаружена внутренней командой Google. Несмотря на то что эти уязвимости классифицированы как «высокие», их эксплуатация могла бы привести к серьёзным последствиям, включая обход механизмов безопасности, утечку данных или нестабильность работы браузера.
Для обычных пользователей рекомендация предельно проста: необходимо немедленно установить обновление. Это можно сделать вручную, перейдя в меню браузера Chrome, выбрав пункт «Справка», а затем «О браузере Google Chrome». Это действие заставит браузер проверить серверы Google на наличие последней версии и загрузить патч. После завершения загрузки обязательно требуется перезапустить браузер для применения изменений. Для корпоративных администраторов и команд информационной безопасности задача носит более масштабный характер. Им необходимо обеспечить, чтобы системы автоматического управления обновлениями развернули версию 145 на всех корпоративных конечных точках. Промедление с установкой таких критических исправлений подвергает организационные сети высокому риску атак, использующих повреждение памяти, которые часто являются основой для сложных цепочек эксплуатации и программ-вымогателей.
В конечном счёте, данный инцидент служит своевременным напоминанием о фундаментальной важности регулярного обновления программного обеспечения. Даже такие технологические гиганты, как Google, постоянно вынуждены латать дыры в своих продуктах, поскольку сложность современного кода и изощрённость методов атакующих не оставляют места для самоуспокоения. Оперативное применение предоставленных исправлений остаётся самой эффективной и простой мерой защиты для каждого пользователя и каждой организации, позволяющей закрыть окно уязвимости до того, как оно будет использовано в реальных атаках.
Ссылки
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop.html
- https://www.cve.org/CVERecord?id=CVE-2026-3536
- https://www.cve.org/CVERecord?id=CVE-2026-3537
- https://www.cve.org/CVERecord?id=CVE-2026-3538
- https://www.cve.org/CVERecord?id=CVE-2026-3539
- https://www.cve.org/CVERecord?id=CVE-2026-3540
- https://www.cve.org/CVERecord?id=CVE-2026-3541
- https://www.cve.org/CVERecord?id=CVE-2026-3542
- https://www.cve.org/CVERecord?id=CVE-2026-3543
- https://www.cve.org/CVERecord?id=CVE-2026-3544
- https://www.cve.org/CVERecord?id=CVE-2026-3545
