Команда разработчиков Google Chrome выпустила стабильную версию браузера 148.0.7778.96 для Linux и 148.0.7778.96/97 для Windows и macOS. Главная новость этого релиза - рекордное количество исправлений в области безопасности: 127 уязвимостей, из которых три получили критический статус. Пользователям настоятельно рекомендуется как можно скорее установить обновление, поскольку многие из этих проблем уже могли использоваться злоумышленниками.
Детали уязвимостей
Согласно официальному бюллетеню, удалённый злоумышленник мог эксплуатировать часть уязвимостей для выполнения произвольного кода, вызова отказа в обслуживании, обхода ограничений безопасности, повышения привилегий и раскрытия конфиденциальной информации. Другими словами, без установки патча браузер оставался открыт для атак практически любого типа - от кражи данных до полного захвата управления системой.
Среди критических багов особенно выделяются три. Первый - CVE-2026-7896, ошибка целочисленного переполнения в движке Blink, отвечающем за отрисовку веб-страниц. Исследователь, обнаруживший её, получил вознаграждение в размере 43 тысяч долларов. Второй - CVE-2026-7897, уязвимость типа use-after-free (использование памяти после её освобождения) в мобильной версии браузера. Третья - CVE-2026-7898, такая же проблема, но уже в модуле Chromoting, который обеспечивает удалённый доступ через Chrome Remote Desktop. Все три критические находки были обнаружены внутренними специалистами Google, что говорит о высоком уровне внутреннего аудита, но не снижает важности немедленного обновления.
Кроме того, релиз закрывает десятки уязвимостей высокого и среднего уровня опасности. Например, в движке V8 (JavaScript-движок) найдена ошибка выхода за границы памяти при чтении и записи (CVE-2026-7899, награда 55 тысяч долларов). А в библиотеке ANGLE, отвечающей за графику, сразу несколько проблем: переполнение буфера в куче, использование после освобождения и целочисленное переполнение. Также исправлены уязвимости в компонентах Fonts, Media, SVG, DOM, ServiceWorker, Fullscreen, GPU, DevTools и многих других. Список затронутых модулей охватывает практически все ключевые подсистемы браузера.
Особого внимания заслуживают уязвимости, связанные с функциями, которые пользователи используют ежедневно: работа с паролями, автозаполнением, вкладками, медиафайлами, а также взаимодействие с веб-интерфейсами и расширениями. Например, в модуле Password Manager была найдена ошибка use-after-free (CVE-2026-7921), а в службе DevTools - недостаточная проверка политик безопасности (CVE-2026-7913, CVE-2026-7915). Это значит, что атакующий мог обойти защиту инструментов разработчика и получить несанкционированный доступ к данным.
Разработчики традиционно не раскрывают полную техническую информацию о некоторых уязвимостях до тех пор, пока большинство пользователей не обновятся. Это сделано для того, чтобы снизить риск массовой эксплуатации до выхода патча. Тем не менее, в примечаниях к релизу перечислены все идентификаторы CVE, а также указаны исследователи, получившие вознаграждения. Общая сумма выплат только по перечисленным багам превышает 150 тысяч долларов, что подчёркивает серьёзность найденных проблем.
Каковы последствия промедления? Если злоумышленник успевает создать эксплойт для критической уязвимости до того, как пользователь обновит браузер, он может получить полный контроль над системой. Например, через уязвимость в Blink достаточно зайти на специально подготовленный сайт - и код уже выполняется на компьютере жертвы. В корпоративной среде это грозит компрометацией целой сети, утечкой корпоративных данных и остановкой бизнес-процессов. Для обычных пользователей - кражей паролей, банковских данных и личной переписки.
Чтобы обезопасить себя, достаточно перейти в меню "Настройки" - "О браузере" и дождаться автоматической загрузки и установки версии 148.0.7778.96 (Linux) или 148.0.7778.96/97 (Windows/macOS). После этого потребуется перезапустить браузер. Рекомендуется также проверить наличие обновлений на всех устройствах, где используется Chrome, включая мобильные - хотя текущий патч выпущен для десктопных платформ, мобильная версия тоже могла получить исправления в рамках цикла.
Этот релиз стал одним из самых масштабных в истории Chrome по числу закрытых уязвимостей. Он демонстрирует, насколько сложной стала архитектура браузера и как много потенциальных точек входа существует для атак. Регулярное обновление остаётся единственным надёжным способом защиты, и чем быстрее пользователи установят патч, тем меньше шансов у злоумышленников использовать уже известные бреши.
