30 июня 2026 года Google перевела Chrome 151 в стабильный канал для Windows, macOS и Linux. Обновление содержит исправления для 382 уязвимостей, из которых 15 отнесены к критическому уровню опасности. Большинство из них связано с повреждением памяти, путаницей типов и недостаточной проверкой входных данных - эти проблемы могли позволить злоумышленникам выполнить произвольный код, выйти за пределы изолированной среды браузера или атаковать системы на разных платформах.
Детали уязвимостей
Наибольшее внимание привлекли критические уязвимости типа use-after-free в компонентах расширений (Extensions), графическом процессоре (GPU), WebUSB, Chromoting (удалённый рабочий стол), Bluetooth, Views, Browser, Ozone, Fullscreen, а также в Dawn, iOSWeb, ANGLE и Skia. Проблема use-after-free возникает, когда программа продолжает использовать память после её освобождения, что может привести к неконтролируемому выполнению кода. В сочетании с другими ошибками такие уязвимости часто становятся основой для цепочек эксплойтов, особенно при атаках через веб-страницы.
Особую опасность представляют уязвимости в подсистеме удалённого доступа Chromoting. CVE-2026-13779 и CVE-2026-13787 - критические ошибки use-after-free в этом компоненте. В корпоративных средах, где активно применяется удалённое администрирование, их эксплуатация могла бы привести к захвату сессии, перемещению внутри сети и утечке данных. Другая критическая проблема в Bluetooth (CVE-2026-13785) расширяет поверхность атаки на устройства, подключённые по этому протоколу. Уязвимости CVE-2026-13778 в WebUSB и CVE-2026-13783, CVE-2026-13784 в интерфейсах Views показывают, что слои взаимодействия с пользователем и периферийным оборудованием остаются привлекательными целями для обхода механизмов согласия.
Ошибки типа use-after-free в Browser (CVE-2026-13782) и Fullscreen (CVE-2026-13788) затрагивают базовое управление жизненным циклом вкладок и элементы безопасности пользовательского интерфейса - их использование могло бы облегчить фишинг или атаки типа drive-by, когда вредоносный код загружается без ведома пользователя.
Среди уязвимостей высокого уровня опасности выделяется CVE-2026-13789 в компоненте GPU, за которую была выплачена награда в 36 тыс. долларов в рамках программы bug bounty. GPU-ошибки нередко применяются в реальных атаках для создания надёжных примитивов удалённого выполнения кода. Также стоит отметить уязвимости в Scroll (CVE-2026-13790) и Safe Browsing (CVE-2026-13809) - они связаны с утечкой информации по сторонним каналам и временными атаками, что может привести к раскрытию данных между сайтами или нарушению приватности.
Целый блок проблем обнаружен в подсистеме Chromecast: CVE-2026-13796 - CVE-2026-13804 включают целочисленные переполнения, переполнения буфера в куче и use-after-free. Эти уязвимости затрагивают как домашние, так и корпоративные сети, где используются мультимедийные устройства и IoT-подобные функции. Высокие оценки также получили ошибки в SVG, WebAppInstalls, версии Chrome для iOS, протоколе QUIC, подсистеме GFX, Accessibility, Import и множестве расширений.
Google рекомендует как можно быстрее обновить браузер до версии 151 на всех поддерживаемых платформах. В управляемых корпоративных средах следует настроить принудительную установку обновлений через групповые политики и системы конфигурационного менеджмента. Учитывая концентрацию критических дефектов, связанных с безопасностью памяти, а также высокий риск эксплуатации в компонентах GPU, Chromecast и расширениях, организациям стоит рассматривать это обновление как приоритетное, особенно если сотрудники активно используют функции удалённого рабочего стола или подключения к медиаустройствам.
Помимо самого обновления, командам безопасности рекомендуется пересмотреть модели доверия к расширениям, настройки удалённого доступа и политики взаимодействия с внешними устройствами - USB, Bluetooth и WebUSB. Многие из исправленных уязвимостей напрямую пересекаются с этими поверхностями атак. В целом выход Chrome 151 подтверждает тенденцию к росту числа критических проблем в системах, отвечающих за работу с графикой, периферией и сетевыми протоколами, что требует от разработчиков ещё более строгого контроля границ доверия между кодом браузера и внешними данными.
Ссылки