Компания Google распространила срочное обновление для своего веб-браузера Chrome, направленное на устранение тридцати одной уязвимости, пять из которых имеют критический уровень опасности. Это событие затрагивает миллиарды пользователей по всему миру, поскольку браузер Chrome является самым популярным в мире, а подобные ошибки в его коде представляют собой лакомую цель для киберпреступников любого уровня. В краткосрочной перспективе обновление является абсолютным приоритетом как для обычных пользователей, так и для корпоративных сред, где задержка с установкой патчей может привести к компрометации рабочих станций и утечке конфиденциальных данных.
Детали обновления
Стабильный канал обновлений браузера уже получил новые версии: 147.0.7727.101/102 для Windows и macOS, а также 147.0.7727.101 для Linux. Процесс глобального распространения обновления уже начался и продлится в течение ближайших дней и недель. Специалисты по информационной безопасности настоятельно рекомендуют не ждать автоматического обновления, а проверить его наличие и установить вручную как можно скорее. Это необходимо для защиты от потенциальных атак, направленных на выполнение произвольного кода и повреждение памяти, которые могут привести к полному контролю злоумышленника над системой.
Наиболее серьёзные из закрытых уязвимостей позволяют удалённому атакующему выполнить произвольный код на компьютере жертвы, просто направив её на специально сформированную вредоносную веб-страницу. В случае успешной эксплуатации злоумышленники могут получить несанкционированный доступ к системе, манипулировать данными или вызвать полный крах браузера. Критические недостатки затронули ключевые компоненты Chrome, включая графический движок ANGLE, подсистему Proxy, библиотеку Skia, механизм предварительной загрузки Prerender и компонент XR для работы с дополненной и виртуальной реальностью.
Анализ патчей показывает, что в этом цикле обновлений доминируют ошибки, связанные с безопасностью управления памятью. В частности, были исправлены многочисленные уязвимости типа "использование после освобождения" (use-after-free) и "переполнение кучи" (heap buffer overflow). Эти классы уязвимостей возникают, когда программа продолжает использовать участок памяти после того, как он был освобождён, или когда данные записываются за пределы выделенного буфера в памяти, что может привести к повреждению соседних структур данных и, в конечном счёте, к выполнению кода атакующего. Их преобладание в одном патч-цикле наглядно демонстрирует непрекращающиеся вызовы, с которыми сталкиваются разработчики сложного программного обеспечения, такого как современные браузеры, при безопасном управлении памятью.
Важно отметить, что большинство из этих уязвимостей было обнаружено независимыми исследователями безопасности в рамках программы вознаграждений Google (Vulnerability Reward Program, VRP). Компания выплатила существенные вознаграждения за ответственное раскрытие информации об ошибках. Самый крупный из известных на данный момент бонусов составил девяносто тысяч долларов США. Эта сумма была выплачена за критическую уязвимость переполнения кучи в компоненте ANGLE, получившую идентификатор CVE-2026-6296 и сообщённую пятого марта 2026 года. Другой исследователь получил десять тысяч долларов за обнаружение проблемы типа "использование после освобождения" в компоненте Proxy (CVE-2026-6297). Размеры вознаграждений за несколько других уязвимостей высокой степени серьёзности гигант индустрии пока не определил.
В рамках своей политики ответственного раскрытия Google часто ограничивает публичный доступ к деталям ошибок и ссылкам на эксплойты до тех пор, пока большинство пользователей не установят необходимые исправления. Эта задержка, известная как "эмбарго на детали", предотвращает возможность быстрого создания и распространения вредоносного кода киберпреступниками до того, как системы будут защищены. Между тем, обновление браузера должно оставаться главной задачей для всех. Чтобы убедиться в защищённости системы, необходимо перейти в меню Chrome (три вертикальные точки в правом верхнем углу), выбрать раздел "Справка", а затем пункт "О браузере Google Chrome". Браузер автоматически проверит наличие последней версии, загрузит обновление и предложит перезапуститься после завершения установки.
Среди прочих исправлений высокой степени серьёзности (High) стоит отметить уязвимости в таких компонентах, как движок обработки видео, подсистема CSS, компилятор Turbofan, библиотеки кодека, механизм рендеринга шрифтов Graphite, движок PDFium и многие другие. Были также устранены проблемы средней опасности (Medium) в JavaScript-движке V8 и других модулях. Подобный масштабный патч-релиз подчёркивает колоссальную сложность современного браузера, который представляет собой целую операционную систему, работающую внутри основной ОС, и обрабатывающую неподконтрольный код из интернета. Каждый такой компонент увеличивает поверхность атаки, а их постоянное обновление и взаимодействие создают почву для появления новых уязвимостей. Таким образом, регулярное и своевременное обновление браузера перестаёт быть рекомендацией и становится строгой необходимостью в любой модели кибербезопасности, будь то домашний компьютер или корпоративная инфраструктура.
