Компания Google распространила экстренное обновление безопасности для своего браузера Chrome, устраняющее множество опасных уязвимостей, включая две критические ошибки. Выпуск стабильной версии 147 для пользователей Windows, macOS и Linux состоялся 7 апреля 2026 года. Это масштабное обновление закрывает недостатки, которые потенциально позволяют злоумышленникам выполнять произвольный код и получать полный контроль над заражённой системой. В настоящий момент новая версия поэтапно развёртывается по всему миру, и процесс займёт от нескольких дней до недель.
Детали узявимостей
Наибольшую опасность представляют две критические уязвимости в компоненте WebML (специализированный API для запуска моделей машинного обучения в вебе), получившие идентификаторы CVE-2026-5858 и CVE-2026-5859. Первая связана с переполнением буфера в куче (heap buffer overflow), а вторая - с целочисленным переполнением (integer overflow). Высокий уровень риска, который несут эти баги, побудил Google выплатить рекордные вознаграждения в размере 43 000 долларов США каждому исследователю безопасности, обнаружившему их. Эксплуатация критических уязвимостей возможна по сценарию drive-by-download: для атаки достаточно заманить пользователя на специально подготовленную веб-страницу, что делает немедленную установку патча абсолютно необходимой.
Помимо критических ошибок, Chrome 147 исправляет многочисленные уязвимости высокой степени серьёзности, обнаруженные в ключевых компонентах браузера. Исследователи нашли серьёзные проблемы, такие как использование памяти после её освобождения (use-after-free), путаница типов (type confusion), а также чтение и запись за пределами выделенной области памяти (out-of-bounds read and write) в движке V8 (исполняет JavaScript), компонентах WebRTC, Media, Blink и Skia. В случае успешной эксплуатации эти недостатки могут привести как к аварийному завершению работы браузера, так и к компрометации базовой операционной системы. За сообщения о подобных проблемах Google также выплатил десятки тысяч долларов в рамках программы вознаграждений за ошибки (bug bounty), чтобы информация об уязвимостях не попала в руки злоумышленников.
В целях защиты пользователей Google ограничил распространение технических деталей и методов эксплуатации закрытых уязвимостей. Такая политика скоординированного раскрытия информации гарантирует, что у большинства пользователей будет достаточно времени на установку обновления безопасности, прежде чем киберпреступники смогут провести реверс-инжиниринг исправлений. Кроме того, это защищает другие программные проекты, зависящие от тех же уязвимых сторонних библиотек, обеспечивая безопасность более широкой технологической экосистемы на время разработки и внедрения патчей.
Учитывая серьёзный характер уязвимостей в WebML, частным пользователям и корпоративным администраторам настоятельно рекомендуется обновить браузер немедленно. Обновление можно запустить вручную, открыв меню Chrome, перейдя в раздел "Справка" и выбрав пункт "О браузере Google Chrome". Браузер автоматически загрузит версию 147.0.7727.55 для Linux или 147.0.7727.55/.56 для Windows и Mac, защитив устройство от потенциальных кибератак. Среди прочих исправлений в обновлении устранены уязвимости средней степени риска, такие как утечка информации через побочные каналы (side-channel information leakage) в компоненте Navigation, обход политик безопасности (policy bypass) и недостаточная проверка вводимых данных (insufficient validation of untrusted input) в различных модулях, включая ANGLE и WebAudio. Также закрыты многочисленные уязвимости низкой степени серьёзности, которые, хотя и представляют меньший непосредственный риск, в совокупности могут ослабить общую защиту браузера.
В контексте современного ландшафта угроз подобные массовые обновления подчёркивают постоянную гонку вооружений между разработчиками и исследователями уязвимостей. Компонент WebML, ставший источником критических проблем, является относительно новой и сложной технологией, что часто коррелирует с повышенным риском появления ошибок в коде. Оперативное реагирование Google и щедрые выплаты по программе bug bounty демонстрируют отработанный механизм минимизации окон уязвимости для миллиардов пользователей по всему миру. Однако данный инцидент служит очередным напоминанием о критической важности своевременного обновления программного обеспечения как для конечных пользователей, так и для служб информационной безопасности компаний, где браузер часто является одним из ключевых векторов атак, включая таргетированные фишинговые кампании и компрометацию через рекламные сети.
