Корпорация Google выпустила стабильное обновление браузера Chrome 149.0.7827.196 для Linux, а также версии 149.0.7827.196/197 для Windows и macOS. В новом релизе устранено 18 уязвимостей, четыре из которых признаны критическими. По данным разработчиков, все проблемы потенциально позволяли удалённому атакующему вызвать отказ в обслуживании, выполнить произвольный код или обойти механизмы безопасности целевой системы.
Детали уязвимостей
Наиболее опасными стали уязвимости, связанные с использованием памяти после освобождения (use-after-free) в компоненте WebGL. Две из них, CVE-2026-13028 и CVE-2026-13032, имеют критический уровень опасности. О первой сообщил анонимный исследователь 7 июня 2026 года, вторая была обнаружена специалистами Google спустя несколько дней. В обоих случаях злоумышленник мог подготовить специально сформированную веб-страницу, которая, будучи открытой в уязвимой версии браузера, приводила к повреждению памяти и последующему выполнению произвольного кода.
Ещё одна критическая уязвимость CVE-2026-13033 связана с чтением за пределами выделенной области памяти (out-of-bounds read) в модуле Blink InterestGroups. Blink - это движок рендеринга Chrome, отвечающий за парсинг и отображение веб-контента. Проблема была выявлена внутренними исследователями Google 13 июня. В случае эксплуатации она могла привести к утечке конфиденциальных данных из памяти браузера или к аварийному завершению работы.
Четвёртая критическая уязвимость CVE-2026-13038 относится к компоненту автозаполнения форм (Autofill). Здесь также зафиксировано повреждение памяти после освобождения. Autofill обрабатывает данные, которые пользователь ранее сохранил в браузере, включая пароли и платёжные реквизиты. Поскольку уязвимость была закрыта спустя четыре дня после обнаружения (14 июня), есть основания полагать, что патч готовился в ускоренном порядке.
Помимо критических, в обновлении исправлены 14 уязвимостей высокого уровня опасности. Они затрагивают разные компоненты браузера: модуль управления сессиями (DeviceBoundSessionCredentials), автозаполнение, графический процессор (GPU), навигацию, инструменты разработчика, работу с цифровыми удостоверениями, файловую систему, веб-аутентификацию, пароли, Bluetooth, WebView и сам движок Blink. Среди них преобладают такие типы ошибок, как некорректная реализация логики (inappropriate implementation), использование неинициализированной памяти (uninitialized use) и всё те же состояния гонки при освобождении памяти.
Например, CVE-2026-13025, обнаруженная в DevTools 30 мая, описывается как недостаточная проверка входных данных. DevTools - мощный инструмент веб-разработчика, встроенный в Chrome. Атакующий мог бы попытаться передать вредоносные данные через интерфейс расширения или через специальную страницу, чтобы выполнить произвольные операции с привилегиями браузера. Аналогичная проблема CVE-2026-13024 в модуле навигации могла позволить злоумышленнику перенаправлять пользователя на фишинговые ресурсы даже при включённых защитных фильтрах.
Уязвимости в компоненте GPU (CVE-2026-13023 и CVE-2026-13030) связаны с доступом к неинициализированной памяти. При рендеринге графики браузер мог выделить область памяти, не очищенную от предыдущих данных, что потенциально приводило к утечке информации из других процессов. Подобная техника иногда применяется в целевых атаках для обхода средств защиты (ASLR, KASLR).
Особое внимание стоит уделить CVE-2026-13034 в модуле управления паролями. Несмотря на отсутствие возможности удалённого выполнения кода, некорректная реализация логики могла позволить локальному злоумышленнику или вредоносной программе извлечь сохранённые учётные данные через специально созданный API-вызов. Эта проблема повышает риск для пользователей, которые хранят пароли в Chrome без мастер-пароля.
По данным бюллетеня, подавляющее большинство уязвимостей (16 из 18) были обнаружены внутренними специалистами Google. Только одна критическая и одна высокого уровня (CVE-2026-13028 и CVE-2026-13021) поступили от внешних источников. Такой расклад указывает на серьёзную работу корпорации по собственному аудиту кода, однако количество одновременно исправляемых дефектов (почти два десятка) напоминает о постоянной нагрузке на безопасность популярного браузера.
Пользователям рекомендуется обновить браузер до версии 149.0.7827.196 (Linux) или 149.0.7827.196/197 (Windows, macOS). Chrome обычно устанавливает обновления автоматически, но принудительно запустить процесс можно через меню "Справка" - "О браузере Google Chrome". На корпоративных системах, где обновления централизованно управляются, администраторам следует как можно скорее развернуть патч. Версии Chrome ниже указанных считаются уязвимыми ко всем перечисленным проблемам.
Временных мер защиты, кроме отключения JavaScript (что практически неприменимо для нормальной работы в интернете), производитель не предлагает. Вместе с тем пользователи могут снизить риски, не посещая подозрительные сайты, не переходя по сомнительным ссылкам и установив антивирусные продукты с веб-защитой. Однако основным и единственным полноценным решением остаётся установка исправления.
Ситуация с очередным крупным набором патчей для Chrome не является исключительной. Практика показывает, что количество закрываемых уязвимостей в браузере Google остаётся стабильно высоким на протяжении нескольких последних лет. Это отражает сложность архитектуры современных веб-обозревателей и постоянное давление со стороны исследователей безопасности и злоумышленников.
Ссылки
