Корпорация Google выпустила стабильное обновление браузера Chrome версий 149.0.7827.200 для Linux и 149.0.7827.200/201 для Windows и macOS. Патч закрывает три уязвимости, каждой из которых присвоен высокий уровень опасности. Две из них затрагивают только версию для Android, одна - все настольные платформы.
Детали уязвимостей
Самая серьёзная проблема, зарегистрированная как CVE-2026-13281, связана с целочисленным переполнением в компоненте Mojo, отвечающем за межпроцессное взаимодействие в Chrome. Уязвимость позволяет удалённому злоумышленнику, который уже скомпрометировал процесс рендеринга (отображения контента), совершить побег из песочницы (sandbox escape). Для эксплуатации достаточно убедить жертву открыть специально подготовленный файл. В случае успеха атакующий получает возможность выполнять произвольный код за пределами изолированной среды браузера, на уровне операционной системы. Эта уязвимость была обнаружена внутренними исследователями Google ещё 14 мая 2026 года.
Две другие уязвимости класса use-after-free (использование памяти после освобождения) затрагивают только мобильную версию Chrome на Android. CVE-2026-13282 присутствует в подсистеме Payments (платежи). Для её эксплуатации злоумышленнику требуется физический доступ к устройству. Используя эту ошибку, локальный атакующий может повредить кучу (heap corruption), что потенциально приведёт к неконтролируемому выполнению кода. Уязвимость была зафиксирована 28 мая.
Третья проблема, CVE-2026-13283, обнаружена в компоненте AdFilter, который отвечает за фильтрацию рекламы. В отличие от предыдущей, эта уязвимость может быть удалённо проэксплуатирована без физического доступа. Для атаки необходимо, чтобы пользователь выполнил определённые жесты интерфейса (специфические UI gestures) на странице с вредоносным HTML-контентом. В случае успеха удалённый злоумышленник получает возможность выполнить произвольный код в контексте браузера. Эта проблема была выявлена и сообщена Google 11 июня.
Все три уязвимости были обнаружены и зарегистрированы внутренними командами Google. Информация о деталях эксплойтов будет раскрываться по мере обновления большинства пользователей. В текущем бюллетене производитель традиционно не приводит полных технических деталей, чтобы дать время на установку патча.
Для настольных систем обновление уже распространяется через автоматический механизм обновления Chrome. Пользователям рекомендуется перезапустить браузер после получения обновления. Для Android-устройств патч также доступен в магазине Google Play. Владельцам мобильных версий Chrome следует проверить наличие обновления вручную, так как в некоторых случаях автоматическая установка может задерживаться на несколько дней.
Поскольку хотя бы одна из уязвимостей позволяет удалённо выполнить код на Android без физического доступа, пользователям этой платформы стоит установить обновление в ближайшее время. В сочетании с уязвимостью, допускающей побег из песочницы на десктопах, обновление актуально и для пользователей Windows, macOS и Linux. Хромовый цикл исправлений безопасности продолжает сохранять высокий темп: этот выпуск стал уже третьим стабильным обновлением за июнь 2026 года, содержащим критические и высокие исправления.
Ссылки
- https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop_01245939337.html
- https://www.cve.org/CVERecord?id=CVE-2026-13281
- https://www.cve.org/CVERecord?id=CVE-2026-13282
- https://www.cve.org/CVERecord?id=CVE-2026-13283
