Google Chrome получает срочное обновление: сразу две критические уязвимости закрыты в версии 148.0.7778.178/179

Разработчики Google выпустили внеочередной пакет исправлений для своего браузера Chrome. Обновление за номером 148.0.7778.178 для Linux и 148.0.7778.178/179 для Windows и macOS закрывает сразу шестнадцать уязвимостей. Две из них получили критический рейтинг опасности, ещё девять отнесены к высокому уровню угрозы. Учитывая, что Chrome остаётся самым популярным браузером в мире, эта новость касается буквально каждого пользователя.

Детали уязвимостей

Наибольшую тревогу вызывают уязвимости CVE-2026-9110 и CVE-2026-9111. Первая, CVE-2026-9110, представляет собой ошибку реализации пользовательского интерфейса в версиях Chrome для Windows. Она позволяет атакующему, уже получившему контроль над процессом отрисовки страницы, подменять элементы интерфейса браузера. Представьте: вы уверены, что вводите пароль на странице банка, а на самом деле данные уходят злоумышленнику. Вторая критическая брешь, CVE-2026-9111, обнаружена в компоненте WebRTC, который отвечает за видеозвонки и передачу аудио в браузере. Речь идёт об уязвимости типа use-after-free, когда программа продолжает обращаться к уже освобождённому участку памяти. Злоумышленник может воспользоваться этим для удалённого выполнения вредоносного кода на компьютере жертвы. Достаточно просто зайти на специально созданную страницу.

Среди уязвимостей высокого уровня риска особенно выделяется CVE-2026-9117. Она связана с путаницей типов данных в графическом движке Chrome на платформах Linux и ChromeOS. Атакующий, уже скомпрометировавший процесс отрисовки, может использовать эту брешь для побега из изолированной среды браузера (так называемого sandbox). Иными словами, вредоносный код получает возможность вырваться за пределы браузерной клетки и начать работать напрямую с операционной системой. Такая атака может привести к полному контролю над устройством.

Ещё одна опасная уязвимость, CVE-2026-9114, заслуживает отдельного внимания. Она обнаружена в реализации протокола QUIC, который Chrome активно использует для ускорения загрузки сайтов. Здесь снова встречается ошибка use-after-free. Атакующему достаточно отправить специально сформированный сетевой трафик, чтобы выполнить код внутри изолированной среды. Это значит, что пользователю даже не нужно кликать по ссылке - вредоносный пакет данных сам находит цель.

Стоит отметить, что компания Google не всегда раскрывает детали всех уязвимостей немедленно. Как сообщили разработчики, доступ к подробностям об ошибках может быть ограничен до тех пор, пока большинство пользователей не установят обновление. Особенно это касается брешей, затрагивающих сторонние библиотеки, которые используются в других проектах. Такой подход понятен: если злоумышленники узнают точную механику атаки до того, как пользователи обновятся, количество жертв может резко возрасти.

Теперь разберёмся с тем, чем именно опасна каждая категория уязвимости. Утечка информации (information disclosure) позволяет злоумышленнику получить доступ к данным, которые хранятся в памяти браузера. Это могут быть пароли, история посещений или содержимое страниц, открытых в других вкладках. Отказ в обслуживании (denial of service) приводит к зависанию или аварийному завершению работы браузера. Удалённое выполнение кода, о котором уже шла речь, даёт атакующему возможность запустить на компьютере жертвы любую программу. Обход ограничений безопасности позволяет злоумышленнику получить доступ к функциям или данным, которые должны быть защищены.

Примечательно, что шесть из шестнадцати уязвимостей были обнаружены внутренними специалистами Google. Это говорит о серьёзной работе компании над качеством кода. Тем не менее, часть брешей нашли внешние исследователи. Например, пользователь под псевдонимом c6eed09fc8b174b0f3eebedcceb1e792 сообщил о трёх уязвимостях в графическом процессоре. Исследователь Давид Корчински из компании Adalogics обнаружил одну из проблем с чтением за пределами буфера.

Среди исправленных уязвимостей встречаются и те, что связаны с сервис-воркерами (CVE-2026-9115 и CVE-2026-9116). Это фоновые скрипты, которые позволяют сайтам работать даже при отсутствии интернет-соединения. Ошибки политики безопасности в них могут привести к утечке данных между разными сайтами. Так называемая утечка кросс-доменных данных - это ситуация, когда информация с одного сайта становится доступна другому сайту через браузер.

Для пользователей macOS и Windows особенно важны уязвимости, затрагивающие GPU. Проблемы чтения за пределами буфера (out of bounds read) могут привести как к утечке чувствительной информации из памяти, так и к повреждению кучи. Это чревато не только кражей данных, но и нестабильной работой системы.

Наконец, стоит обратить внимание на CVE-2026-9123, затрагивающую компонент Chromecast на устройствах Android, Linux и ChromeOS. Хотя для её эксплуатации требуется локальный доступ, в сочетании с другими уязвимостями она может стать частью цепочки атак.

Вывод здесь один: если вы используете Google Chrome, необходимо немедленно проверить версию браузера и установить обновление. Сделать это просто: откройте меню "Настройки", выберите пункт "О браузере". Система сама проверит наличие обновлений и предложит перезапустить браузер. Промедление в данном случае действительно опасно. Критические уязвимости, особенно те, что позволяют удалённо выполнять код, - это лакомый кусок для киберпреступников. Как только информация о брешах станет общедоступной, начнётся волна атак на необновлённые системы. Не стоит давать злоумышленникам ни единого шанса.

Детали уязвимостей

Ссылки