Корпорация Google выпустила срочное обновление безопасности для браузера Chrome. Оно закрывает 33 уязвимости, семь из которых получили статус критических. Актуальные версии - 149.0.7827.155/.156 для Windows и macOS и 149.0.7827.155 для Linux. Исправление уже распространяется автоматически, но пользователям и администраторам рекомендовано установить его вручную как можно быстрее.
Детали уязвимостей
Обнаруженные критические проблемы затрагивают ключевые компоненты браузера. В их числе WebShare (функция обмена ссылками и файлами), WebView (встраиваемый отображатель веб-контента), Digital Credentials (механизм цифровых учётных данных), Passwords (менеджер паролей), Web Authentication (веб-аутентификация) и File Input (обработка файлового ввода). Большинство из этих уязвимостей относятся к классу use-after-free - использованию памяти после её освобождения. Данная ошибка возникает при некорректном управлении памятью: приложение продолжает обращаться к уже освобождённому участку памяти. В контексте браузера это позволяет вредоносной веб-странице манипулировать свободной памятью и добиться выполнения произвольного кода внутри процесса Chrome.
Семь критических уязвимостей зарегистрированы под идентификаторами CVE-2026-12437 - CVE-2026-12443. Они были сообщены исследователями в период с 25 мая по 11 июня 2026 года. Каждая из них потенциально даёт возможность удалённого выполнения кода (remote code execution, RCE) без взаимодействия с пользователем сверх посещения специально сформированной страницы. Учитывая, что Chrome является одним из наиболее распространённых браузеров в корпоративном и частном сегментах, успешная эксплуатация может привести к массовым атакам, краже учётных данных или доставке вторичной вредоносной нагрузки, например программ-вымогателей или шпионского ПО.
Помимо критических, в обновлении исправлен ряд уязвимостей высокого уровня опасности. В частности, множественные условия use-after-free обнаружены в компоненте Chromoting (технология удалённого доступа к рабочему столу), в системе расширений (Extensions) и в самом ядре браузера. Эти ошибки также позволяют повредить память и выполнить код, если жертва перейдёт на вредоносный сайт или установит скомпрометированное расширение.
Значительное внимание уделено медиа- и коммуникационным функциям. В библиотеке WebRTC (технология передачи аудио и видео в реальном времени) исправлены переполнения буфера в куче (heap buffer overflow) и чтения за пределами границ, которые могут быть инициированы специально созданным аудио- или видеопотоком. Аналогичные проблемы закрыты в общем медиа-компоненте. Эти дефекты способны вызывать сбои, раскрытие информации или удалённое выполнение кода.
Обработка ввода и механизмы контроля безопасности также получили усиление. В менеджере паролей, системе ввода, расширениях и модуле сбора метрик устранены недостаточные проверки непроверенных входных данных. В компоненте доступа к файловой системе исправлено недостаточное применение политик.
Google не раскрывает подробные технические детали об этих уязвимостях из-за риска активной эксплуатации. Концентрация ошибок повреждения памяти указывает на высокую вероятность создания цепочек эксплойтов: злоумышленники обычно комбинируют такие дефекты с техниками обхода песочницы (sandbox escape) для полного захвата системы.
Компания поблагодарила внутренние команды безопасности и внешних исследователей, которые своевременно и ответственно сообщили о проблемах. Google продолжает применять продвинутые инструменты фаззинга и проверки безопасности памяти, такие как AddressSanitizer, MemorySanitizer, libFuzzer и AFL, для обнаружения и устранения уязвимостей на этапе разработки.
Организациям следует немедленно приступить к развёртыванию патча, проверить соответствие версий Chrome на всех конечных устройствах и усилить мониторинг подозрительной активности на уровне браузера. Пользователи могут обновить Chrome вручную, перейдя в "Настройки" - "О браузере". Это активирует загрузку и установку последней версии. Неприменение патча оставляет системы открытыми для потенциальных атак, которые могут использовать хотя бы одну из семи критических уязвимостей для получения контроля над браузером и, при успешном обходе песочницы, над операционной системой.
Ссылки
