В сфере информационной безопасности стабильность и безопасность веб-браузера являются критически важными элементами цифровой гигиены для миллиардов пользователей по всему миру. Любая уязвимость в таком фундаментальном программном обеспечении открывает злоумышленникам путь к компрометации не только личных данных, но и корпоративных систем. Именно поэтому каждый выпуск патчей для основных браузеров, таких как Google Chrome, становится событием, требующим немедленного внимания как со стороны рядовых пользователей, так и специалистов по кибербезопасности. Недавний релиз обновления до версии 146, выпущенный 10 марта 2026 года, подчеркивает эту необходимость, устраняя сразу 29 уязвимостей, среди которых присутствуют критические ошибки, позволяющие выполнить произвольный код на устройстве жертвы.
Обновление Google Chrome
Центральным элементом этого патча является устранение критической уязвимости, получившей идентификатор CVE-2026-3913. Эта проблема была обнаружена независимым исследователем безопасности Тобиасом Вайнандом, который получил за неё вознаграждение в рамках программы Bug Bounty в размере 33 000 долларов. Уязвимость представляет собой переполнение буфера в куче (heap buffer overflow) внутри компонента WebML. Подобные ошибки памяти относятся к числу наиболее опасных, поскольку их эксплуатация может привести как к аварийному завершению работы браузера, так и к удалённому выполнению кода (RCE, Remote Code Execution). Это означает, что злоумышленник, воспользовавшись такой уязвимостью через специально созданную веб-страницу, может получить полный контроль над системой пользователя без его ведома. Учитывая, что WebML связан с обработкой мультимедийного контента, вектор атаки может быть скрыт в, казалось бы, легитимном видео или аудиофайле.
Однако угрозы не ограничиваются одной критической ошибкой. В обновлении также устранены 11 уязвимостей высокой степени опасности. Многие из них относятся к классу Use-After-Free (UAF, использование памяти после освобождения) и ошибкам доступа к памяти за пределами выделенной области (out-of-bounds memory access). Эти недостатки затрагивают ключевые компоненты браузера: Web Speech, Agents, Extensions, TextEncoding и MediaStream. Техники эксплуатации UAF-уязвимостей пользуются особой популярностью у киберпреступников, включая группы, занимающиеся целевыми атаками (APT, Advanced Persistent Threat). Причина в том, что манипулирование указателями в памяти после её освобождения позволяет внедрить и выполнить произвольную вредоносную полезную нагрузку, обходя стандартные механизмы защиты. Например, уязвимость в расширениях (CVE-2026-3919) теоретически может быть использована для компрометации легитимного плагина, превратив его в инструмент для слежки или кражи данных.
Помимо высокорисковых проблем, патч включает исправления для 17 уязвимостей средней и низкой степени серьёзности. Они затрагивают такие компоненты, как движок JavaScript V8, средство просмотра PDF, инструменты для разработчиков (DevTools) и подсистему Skia, отвечающую за графику. Хотя эти ошибки сами по себе могут не приводить к прямому захвату контроля над системой, они часто используются в цепочках эксплойтов для повышения привилегий, обхода систем безопасности или утечки конфиденциальной информации. Уязвимость, приводящая к утечке информации через время обработки ресурсов (CVE-2026-3929), является ярким примером подобной вспомогательной техники.
С практической точки зрения, последствия успешной эксплуатации этих уязвимостей могут быть катастрофическими. Для домашних пользователей это риск кражи банковских реквизитов, паролей, личных фотографий и переписок. Для бизнеса - потенциальная утечка интеллектуальной собственности, коммерческой тайны и учетных данных сотрудников, что может стать началом масштабной кибератаки на всю корпоративную сеть. Учитывая доминирующую долю Chrome на рынке, злоумышленники активно охотятся за подобными ошибками, что делает период между обнаружением уязвимости и установкой обновления окном повышенной опасности.
Таким образом, единственной эффективной мерой защиты является немедленная установка актуальной версии браузера. Пользователям необходимо убедиться, что их Chrome обновлён до версии 146.0.7680.71 для Linux или 146.0.7680.71/72 для Windows и macOS. Для этого следует открыть браузер, нажать на меню в правом верхнем углу в виде трёх точек, перейти в раздел «Справка», выбрать «О браузере Google Chrome» и дождаться автоматической загрузки и установки обновления. После этого браузер нужно перезапустить. Крайне важно также проверить, что функция автоматического обновления включена, чтобы в будущем подобные критические исправления применялись без задержек. Для корпоративных администраторов это событие служит напоминанием о необходимости наладить централизованное и быстрое развёртывание патчей на всех рабочих станциях, поскольку человеческий фактор часто становится самым слабым звеном в безопасности. В условиях, когда киберугрозы становятся всё более изощрёнными, своевременное обновление программного обеспечения остаётся не просто рекомендацией, а базовым и необходимым условием цифровой защиты.
