Компания Google выпустила обновление стабильной ветки браузера Chrome для настольных платформ, которое устраняет семь уязвимостей, три из которых получили статус критических. Версия 150.0.7871.128 для Linux и 150.0.7871.128/.129 для Windows и Mac уже начала распространяться через автоматический механизм обновлений. По данным производителя, в случае эксплуатации этих проблем злоумышленник мог бы добиться отказа в обслуживании, раскрытия конфиденциальной информации или манипуляции данными на целевой системе.
Детали уязвимостей
Среди устранённых ошибок безопасности особое внимание привлекают три критические уязвимости категории "использование после освобождения" (use-after-free). Они затрагивают компоненты CameraCapture (CVE-2026-15899), GPU (CVE-2026-15900) и Network (CVE-2026-15901). Все три были обнаружены внутренними исследователями Google в период с конца мая по начало июля 2026 года. Подобные дефекты памяти позволяют атакующему, уже имеющему возможность выполнить вредоносный код в контексте браузера, получить контроль над процессом или выйти за пределы предусмотренной изоляции. В реальных атаках этот класс уязвимостей часто используется для выполнения произвольного кода после обхода стандартных механизмов защиты, таких как песочница (изолированная среда выполнения).
Ещё три уязвимости с высоким уровнем опасности также относятся к типу "использование после освобождения". Они обнаружены в компонентах Cast (CVE-2026-15902), Ozone (CVE-2026-15904) и Aura (CVE-2026-15905). Все три сообщены внутренней командой безопасности Google 9-10 июля 2026 года. Компонент Cast отвечает за передачу медиаконтента на внешние устройства, Ozone - абстрактный слой для работы с окнами и графикой в Chrome OS и Linux, Aura - оконная система для Windows и Chrome OS. Хотя эти модули менее заметны для обычного пользователя, их эксплуатация могла бы позволить злоумышленнику получить привилегии выше изначальных или выполнить код в контексте процесса браузера.
Отдельно стоит уязвимость CVE-2026-15903, также отнесённая к высокому уровню опасности. Она представляет собой выход за границы чтения и записи (out-of-bounds read and write) в движке V8, который обрабатывает JavaScript. Эту проблему обнаружил внешний исследователь из OpenAИ Codex Security (amyb) 6 июля 2026 года. Ошибки в V8 традиционно критичны, поскольку движок обрабатывает значительную часть веб-контента. Чтение за пределами выделенного буфера может привести к раскрытию участков памяти, а запись - к повреждению данных и потенциальному выполнению произвольного кода. Google регулярно вкладывает средства в укрепление V8, и подобные находки свидетельствуют о сохраняющейся сложности обеспечения безопасности интерпретаторов.
Хотя все описанные уязвимости требуют для эксплуатации дополнительных шагов - чаще всего необходимо сначала обойти другие уровни защиты или склонить пользователя к переходу на специально подготовленную веб-страницу, - сам факт наличия критических ошибок в компонентах камеры, графического ускорителя и сетевого стека вызывает обеспокоенность. CameraCapture используется для доступа к веб-камере, GPU интенсивно задействуется при отрисовке страниц и обработке графики, а Network - основной канал взаимодействия с серверами. Компрометация любого из этих модулей может иметь серьёзные последствия для конфиденциальности и целостности данных пользователя.
Как отмечается в официальном бюллетене, Google временно ограничивает доступ к деталям некоторых уязвимостей до тех пор, пока обновление не получит большинство пользователей. Та же практика применяется, если ошибка содержится в сторонней библиотеке, используемой другими проектами, которые ещё не успели выпустить исправление. Это стандартная процедура, направленная на минимизацию риска создания эксплойта (вредоносного кода, эксплуатирующего уязвимость) до того, как патч станет широко доступен.
Пользователям Chrome на всех поддерживаемых платформах рекомендуется удостовериться, что браузер обновлён до версии 150.0.7871.128 (Linux) или 150.0.7871.128/.129 (Windows, Mac). Для проверки достаточно открыть меню "Настройки" - "О браузере Chrome" или ввести в адресной строке chrome://settings/help. Система автоматически начнёт загрузку обновления, если оно ещё не было установлено. После завершения загрузки потребуется перезапустить браузер. Временных мер защиты, способных заблокировать эксплуатацию этих уязвимостей до установки патча, не предложено, поэтому затягивать с обновлением не следует.
Данный выпуск вновь подтверждает, что Chrome остаётся объектом пристального внимания как внутренних, так и внешних специалистов по безопасности. Регулярный выход стабильных обновлений с исправлениями критических и высоких уязвимостей стал нормой для современного веб-браузера. Пользователям стоит воспринимать такие релизы не как повод для беспокойства, а как напоминание о необходимости своевременно устанавливать доступные патчи - это наиболее действенный способ защитить себя от атак, использующих уже известные дефекты.
Ссылки