28 апреля 2026 года компания Google выпустила внеплановое обновление стабильной версии браузера Chrome, которое закрывает сразу тридцать уязвимостей. Четыре из них получили статус критических, ещё двадцать четыре отнесены к категории высокого риска, а оставшиеся три - среднего. Это событие требует немедленного внимания как от рядовых пользователей, так и от корпоративных администраторов безопасности, поскольку Chrome остаётся одним из самых распространённых браузеров в мире. Следовательно, любая массовая уязвимость в нём представляет серьёзную угрозу для миллионов устройств.
Детали уязвимостей
Новые версии браузера получили индексы 147.0.7727.137 для операционных систем Windows и Linux, а также 147.0.7727.138 для macOS. Обновление распространяется постепенно в течение нескольких дней. Однако специалистам по информационной безопасности настоятельно рекомендуется установить его вручную, не дожидаясь автоматической доставки. Ведь злоумышленники уже могли проанализировать вышедший патч и начать разработку эксплойтов (вредоносных программ, использующих уязвимости) под ещё незакрытые бреши.
Четыре критические уязвимости (CVE-2026-7363, CVE-2026-7361, CVE-2026-7344, CVE-2026-7343) относятся к одному классу - use after free, что переводится как "использование памяти после её освобождения". Это означает, что программа обращается к участку оперативной памяти, который уже был освобождён и может быть перезаписан другими данными. Атакующий может подконтрольно изменить содержимое этой памяти, тем самым добиться выполнения произвольного кода на устройстве жертвы. Подобные ошибки особенно опасны, потому что они позволяют обойти все штатные механизмы защиты браузера.
Критическая уязвимость CVE-2026-7363 была обнаружена внешним исследователем под псевдонимом heapracer и затрагивает компонент Canvas (элемент для рисования графики на веб-страницах). За её раскрытие компания Google выплатила вознаграждение в размере 7 тысяч долларов. Три остальные критические ошибки были найдены внутренними специалистами Google - в модулях Accessibility (инструменты для людей с ограниченными возможностями), Views (система отображения элементов интерфейса) и iOS (видимо, уязвимость проявлялась только в мобильной версии браузера на устройствах Apple). Хотя точные детали этих багов пока не раскрыты, их критический рейтинг говорит о высокой вероятности удалённой компрометации системы.
Перечень уязвимостей высокого уровня риска включает девятнадцать случаев use after free в различных компонентах: в подсистеме GPU (графический процессор), ANGLE (библиотека для трансляции графических команд), Animation (анимация), Navigation (навигация), Media (работа с медиафайлами), WebRTC (технология для аудио- и видеозвонков в браузере), Chromoting (удалённый рабочий стол Chrome), WebView (встроенный браузерный движок для приложений) и Cast (функция трансляции контента на другие устройства). Кроме того, в эту группу попали уязвимости типа out of bounds read and write (чтение и запись за пределами выделенного буфера - может приводить к утечке данных или перезаписи критических структур), heap buffer overflow (переполнение кучи - запись данных за границу динамической памяти) и race condition (состояние гонки - непредсказуемое поведение при одновременном доступе к ресурсу). Одна уязвимость высокого уровня (CVE-2026-7337) классифицирована как Type Confusion (путаница типов данных в движке V8, обрабатывающем JavaScript).
Уязвимости среднего уровня - это ещё один случай heap buffer overflow в WebRTC (награда 4 тысячи долларов), integer overflow (целочисленное переполнение) в ANGLE (3 тысячи долларов) и use after free в компоненте Media. Все они также требуют установки обновления, но их эксплуатация менее вероятна или сопряжена с дополнительными трудностями для атакующего.
Примечательно, что лишь небольшая часть уязвимостей - семь из тридцати - была обнаружена внешними исследователями. Остальные нашла внутренняя команда безопасности Google, которая регулярно проводит аудит кода с помощью специализированных инструментов, таких как AddressSanitizer (обнаруживает ошибки работы с памятью) и libFuzzer (автоматическая генерация входных данных для тестирования). Это говорит о том, что процесс выявления уязвимостей в Chrome хорошо отлажен, но количество проблем остаётся высоким.
Какие риски несут эти уязвимости для пользователей? Злоумышленник может создать специальную веб-страницу, которая при открытии в Chrome запускает один из описанных багов. Если это критическая уязвимость, атакующий способен получить полный контроль над компьютером: установить программу-шпион, перехватить пароли, зашифровать файлы и потребовать выкуп. Более того, некоторые уязвимости могут эксплуатироваться без участия пользователя - через автоматически загружаемый контент. Поэтому промедление с обновлением крайне опасно.
Меры защиты в данном случае очевидны: каждому пользователю Chrome необходимо обновить браузер до последней версии. Для этого достаточно перейти в меню "Настройки" → "О браузере Google Chrome" - браузер сам проверит наличие обновления и установит его. После перезапуска Chrome версия должна соответствовать указанной выше. Корпоративным администраторам рекомендуется ускорить развёртывание патча через системы централизованного управления, так как необновлённые рабочие станции становятся лёгкой мишенью для атак.
Подводя итог, стоит напомнить, что Google Chrome остаётся частой мишенью для киберпреступников из-за своей огромной популярности. Регулярное обновление браузера - базовая, но критически важная привычка цифровой гигиены. Только так можно защитить свои данные от эксплуатации тех уязвимостей, которые уже найдены, но ещё не закрыты.
