Компания Google выпустила критически важное обновление безопасности для своего браузера Chrome, устранив восемь уязвимостей высокой степени опасности. В условиях растущей активности киберпреступников, которые активно ищут и эксплуатируют ошибки в популярном ПО, такие обновления становятся обязательным элементом цифровой гигиены для миллиардов пользователей по всему миру. Специалисты настоятельно рекомендуют немедленно обновить браузер, чтобы защитить системы от потенциальных атак, включая удалённое выполнение кода.
Детали уязвимостей
Стабильная версия браузера обновляется до сборок 146.0.7680.164 и 146.0.7680.165 для пользователей Windows и macOS, в то время как пользователи Linux получат версию 146.0.7680.164 в течение ближайших недель. Основная масса устранённых проблем связана с ошибками управления памятью - классической мишенью для злоумышленников. Речь идёт о таких типах уязвимостей, как переполнение буфера в куче, ошибки типа "использование после освобождения", чтение за границами выделенной памяти и целочисленное переполнение. При успешной эксплуатации эти недостатки могут позволить злоумышленникам вызвать аварийное завершение работы браузера или, что гораздо серьёзнее, выполнить произвольный вредоносный код на компьютере жертвы. Типичный сценарий атаки предполагает, что пользователь посещает специально сконструированную вредоносную веб-страницу.
Среди наиболее критичных исправлений - два переполнения буфера в куче, обнаруженные в компонентах WebAudio (CVE-2026-4673) и WebGL (CVE-2026-4675). Переполнение буфера в куче возникает, когда программа записывает в область памяти больше данных, чем та может вместить. Это может привести к перезаписи соседних участков памяти и, как следствие, к получению злоумышленником контроля над приложением. За обнаружение уязвимости в WebAudio, о которой стало известно в середине февраля, исследователь получил вознаграждение в размере 7000 долларов в рамках программы Bug Bounty.
Кроме того, обновление устраняет несколько уязвимостей типа "использование после освобождения" в различных компонентах Chrome. Эта ошибка возникает, когда программа продолжает использовать указатель на область памяти уже после того, как эта память была освобождена, создавая окно для внедрения вредоносного кода. Исправленные недостатки затрагивают компоненты Dawn (CVE-2026-4676), WebGPU (CVE-2026-4678) и FedCM (CVE-2026-4680). WebGPU и Dawn представляют собой программные интерфейсы, используемые для рендеринга интерактивной графики. Поскольку эти компоненты тесно взаимодействуют с аппаратным обеспечением устройства, уязвимости в них вызывают особую озабоченность у экспертов по кибербезопасности.
Дополнительно Google исправила уязвимости чтения за границами выделенной памяти в CSS (CVE-2026-4674) и WebAudio (CVE-2026-4677). Такая ошибка позволяет атакующим получить доступ к запрещённым областям памяти, что может привести к утечке конфиденциальных данных и помочь в обходе механизмов безопасности. Наконец, была успешно устранена и уязвимость целочисленного переполнения в компоненте Fonts (CVE-2026-4679). Целочисленное переполнение происходит, когда результат арифметической операции превышает максимальное значение, которое может быть представлено в отведённом объёме памяти, что также может быть использовано для нарушения нормальной работы программы.
В соответствии со стандартными практиками безопасности, Google ограничивает доступ к техническим деталям и подробностям эксплуатации найденных уязвимостей. Этот временный информационный вакуум призван предотвратить ситуацию, при которой злоумышленники смогут реверс-инжинирить исправления и создать рабочие эксплойты до того, как основная масса пользователей обновит свои браузеры. Компания также отметила, что подобные ограничения на доступ к информации сохранятся, если уязвимости существуют в сторонних библиотеках, от которых зависят другие проекты, но ещё не исправлены. Эта практика, известная как скоординированное раскрытие уязвимостей, является краеугольным камнем современной экосистемы кибербезопасности.
Чтобы гарантированно защититься от восьми угроз высокой степени опасности, пользователям следует вручную проверить версию своего браузера. Обновление можно запустить, перейдя в меню Chrome, выбрав раздел "Справка" и нажав на пункт "О браузере Google Chrome". После этого браузер автоматически проверит наличие последних обновлений, загрузит их и предложит перезапустить приложение для применения исправлений безопасности. В условиях, когда браузер является основным инструментом для работы и доступа к критически важным сервисам, подобные превентивные меры перестают быть рекомендацией и становятся необходимостью. Промедление с установкой таких обновлений существенно повышает риски для личных данных и корпоративных активов, особенно для организаций, чьи сотрудники используют браузер для доступа к внутренним ресурсам.
