Корпорация Google выпустила экстренную заплатку для браузера Chrome, исправляющую сразу 16 уязвимостей. Среди них - две критические ошибки, способные дать злоумышленникам полный контроль над системой жертвы. Обновление уже начало распространяться по всему миру и присваивает браузеру номер 148.0.7778.178/179 для Windows и macOS, а для Linux - 148.0.7778.178. Этот шаг - не просто плановая профилактика, а реакция на реальные угрозы, которые могут затронуть как обычных пользователей, так и корпоративный сектор.
Детали уязвимостей
Наибольшую тревогу вызывают две уязвимости, получившие идентификаторы CVE-2026-9111 и CVE-2026-9110. Обе оценены как критические, поскольку позволяют реализовать удалённое выполнение кода (RCE, то есть возможность запустить произвольную программу на компьютере пользователя без его ведома). Самая опасная из них, CVE-2026-9111, - это ошибка типа use-after-free (некорректное обращение с памятью: программа продолжает использовать участок памяти после его освобождения, что открывает путь для внедрения вредоносного кода) в компоненте WebRTC. WebRTC (протокол для организации аудио- и видеосвязи в реальном времени прямо в браузере) - сложный модуль, обрабатывающий непроверенные данные от собеседника. Атакующему достаточно заманить пользователя на специально подготовленный сайт или подсунуть ему вредоносный контент, чтобы через эту уязвимость выполнить произвольный код в контексте браузера.
Вторая критическая брешь, CVE-2026-9110, связана с некорректной реализацией пользовательского интерфейса (UI) браузера. Хотя технические детали пока скрыты, эксперты сходятся во мнении: такие ошибки часто используются в цепочках атак - их комбинируют с другими багами, чтобы обойти системы защиты, например, песочницу браузера. Сами по себе они редко дают доступ к системе, но с дополнительным шагом становятся опасным оружием.
Помимо критических, Google закрыла несколько уязвимостей высокого уровня опасности. Речь идёт о компонентах, которые традиционно привлекают исследователей из-за своей сложности и большого количества обрабатываемых данных. Например, CVE-2026-9112 и CVE-2026-9113 - ошибки в графическом процессоре (GPU, специализированная микросхема для обработки изображений). Первая из них - use-after-free, вторая - чтение за границами буфера (out-of-bounds read). Обе могут привести к утечке данных или сбою системы. Ещё одна проблема, CVE-2026-9114, затрагивает протокол QUIC (быстрый транспортный протокол, используемый Chrome для ускорения загрузки страниц) и также является use-after-free.
Особое внимание привлекли ошибки в Service Workers (фоновые скрипты, которые позволяют браузеру выполнять задачи даже после закрытия вкладки). Две уязвимости - CVE-2026-9115 и CVE-2026-9116 - связаны с нарушением политик безопасности в этом компоненте. А CVE-2026-9117 (type confusion в графической подсистеме GFX) может привести к повреждению памяти. Кроме того, закрыты две уязвимости повреждения памяти в WebRTC (CVE-2026-9119 и CVE-2026-9120). Все перечисленные баги в определённых условиях позволяют выйти за пределы изолированной среды браузера (sandbox escape) или украсть конфиденциальные данные.
Среди исправленных ошибок среднего уровня опасности - переполнение буфера в куче (heap buffer overflow), выход за границы чтения и недостаточная проверка входных данных. Например, CVE-2026-9124 - это типичная проблема недостаточной валидации данных, поступающих из ненадёжного источника. Даже если каждая из них по отдельности не фатальна, в руках опытного злоумышленника они могут стать частью сложной многоступенчатой атаки.
Google отметила заслуги как внутренних команд, так и внешних исследователей, сообщивших об этих уязвимостях. Вознаграждения за найденные баги высокого уровня достигали 11 тысяч долларов. Компания также подчеркнула, что многие из них были обнаружены с помощью автоматизированных инструментов для фаззинга и контроля целостности памяти, таких как AddressSanitizer, libFuzzer и Control Flow Integrity (CFI). Эти инструменты помогают находить проблемы, которые ускользают от глаз человека.
Что это значит для пользователей? Риск атаки вполне реален: заставить жертву перейти по ссылке на вредоносный сайт - один из самых распространённых приёмов. Поэтому обновляться нужно немедленно. Google распространяет заплатку постепенно, но каждый может ускорить процесс вручную. Для этого достаточно открыть меню "Настройки" в Chrome, выбрать раздел "О браузере" и нажать кнопку "Проверить наличие обновлений". После загрузки браузер предложит перезапустить его.
Организациям стоит взять на заметку: задержка с установкой обновлений повышает риск эксплуатации уже опубликованных уязвимостей. Как только детали патча становятся доступны, злоумышленники начинают анализировать разницу между старой и новой версией, чтобы создать эксплойт. Рекомендуется настроить централизованное управление обновлениями на всех конечных точках и обращать внимание на необычную активность браузера - подозрительные зависания, вылеты или несанкционированный запуск процессов.
Этот выпуск заплаток вновь напоминает: современные браузеры - чрезвычайно сложные программы, и ошибки в работе с памятью остаются их ахиллесовой пятой. Даже одна критическая уязвимость может стоить компании миллионов. Своевременное обновление - простой, но самый надёжный способ защитить себя сегодня.
Ссылки
