Google закрывает две критические уязвимости в Chrome, угрожающие удалённым выполнением кода

Компания Google выпустила 3 февраля 2026 года обновление Stable Channel для браузера Chrome версий 144.0.7559.132 и .133. Это обновление устраняет две уязвимости высокой степени опасности, которые могли позволить злоумышленникам выполнить произвольный код или вызвать сбои в системе. Патч распространяется постепенно среди пользователей Windows, macOS и Linux.

Детали уязвимостей

Согласно официальному бюллетеню безопасности Google, обе уязвимости были обнаружены недавно. Их эксплуатация возможна через специально сформированное веб-содержимое. Ошибки находятся в компонентах libvpx и V8 - двух критически важных областях, часто становившихся мишенью для атак на браузеры.

Первая уязвимость получила идентификатор CVE-2026-1861. Она классифицирована как критическая и связана с компонентом libvpx, который отвечает за обработку видео. Суть проблемы - переполнение кучи (heap buffer overflow). Эта ошибка может привести к повреждению памяти, что вызывает нестабильность системы или позволяет выполнить произвольный код. Уязвимость была обнаружена специалистами Google 26 января 2026 года.

Вторая проблема зарегистрирована под номером CVE-2026-1862. Она также имеет высокий уровень серьёзности и затрагивает движок JavaScript V8. Её тип - путаница типов (type confusion). Такая уязвимость может позволить вредоносной веб-странице обойти проверки безопасности памяти и выполнить несанкционированные операции. Ошибку обнаружил независимый исследователь Чаоюань Пэн (Chaoyuan Peng, @ret2happy) 29 января 2026 года.

Переполнение кучи в libvpx представляет особую опасность, поскольку этот компонент активно используется при воспроизведении видео в сети. Следовательно, атака может быть инициирована просто при посещении пользователем скомпрометированного сайта. В свою очередь, путаница типов в V8 является классическим вектором атак на современные браузеры, позволяющим обходить изоляцию памяти.

Важно отметить, что Google не зафиксировал активной эксплуатации этих уязвимость в дикой природе. Однако компания приняла стандартные меры предосторожности, ограничив публикацию полных технических деталей до тех пор, пока большинство пользователей не установят патч. Такая практика призвана предотвратить создание работающих эксплойтов до широкого распространения обновления.

Обнаружение этих уязвимостей стало возможным благодаря постоянному использованию в разработке Chrome инструментов фаззинга и санитизации, таких как AddressSanitizer и libFuzzer. Эти технологии автоматически тестируют код на предмет ошибок, связанных с памятью и логикой, что позволяет выявлять проблемы на ранних стадиях.

Google настоятельно рекомендует всем пользователям немедленно обновить браузер. Сделать это можно через меню «Настройки» → «О браузере Google Chrome». После проверки доступности обновления оно загрузится и установится автоматически при перезапуске браузера. Своевременное обновление является ключевой мерой защиты от потенциальных удалённых атак.

Для корпоративных пользователей и специалистов по безопасности ситуация требует повышенного внимания. Организациям, использующим браузеры на базе Chromium, следует обеспечить скорейшее развёртывание патча во всех управляемых средах. Кроме того, необходимо мониторить попытки эксплуатации, нацеленные на устаревшие сборки. Подобные уязвимости в базовых компонентах, таких как V8, часто становятся объектом пристального внимания APT-групп (Advanced Persistent Threat - условно-постоянная угроза) и создателей вредоносного ПО.

Этот инцидент в очередной раз подчёркивает сложность современных веб-браузеров, которые объединяют множество компонентов. Регулярное обновление остаётся самым эффективным способом защиты для обычных пользователей. Для исследователей же данный случай демонстрирует результативность комбинации автоматизированного тестирования и программ вознаграждений за ошибки (Bug Bounty), которые помогают привлекать внешних специалистов для аудита безопасности.

Детали уязвимостей

Ссылки