Восьмого июня 2026 года компания Google выпустила внеочередное обновление безопасности для своего браузера Chrome. Этот патч закрывает сразу 74 уязвимости, и это не просто рядовая техническая процедура. Дело в том, что одна из обнаруженных брешей, по данным разработчиков, уже активно эксплуатируется хакерами в реальных атаках. Речь идет об уязвимости с идентификатором CVE-2026-11645, которая затрагивает движок V8, отвечающий за выполнение JavaScript-кода.
Детали уязвимостей
Chrome является самым популярным браузером в мире, его используют сотни миллионов человек. Любая критическая уязвимость в нем создает угрозу для корпоративных сетей, государственных учреждений и обычных пользователей. Злоумышленники, получив возможность выполнить вредоносный код на устройстве жертвы, могут похитить данные, установить программы-шпионы или перехватить управление системой. И тот факт, что компания подтвердила наличие активных эксплойтов, превращает эту новость из разряда "потенциально опасной" в "требующую немедленных действий".
Давайте разберемся, что именно было найдено. Среди 74 исправленных уязвимостей выделяется 20 критических, 52 высокого уровня и две среднего. Большинство из них относятся к типу "использование после освобождения" (use after free). Если объяснять простыми словами, это ситуация, когда программа продолжает обращаться к области памяти, которая уже была освобождена и возвращена системе. В этот момент злоумышленник может подсунуть в эту область свои данные, что приводит к выполнению произвольного кода или краху браузера. Практически все критические уязвимости имеют именно такой характер: они обнаружены в компонентах Ozone (графическая подсистема), Bluetooth, Aura (оболочка окон), TabStrip, Gamepad и других модулях.
Еще один опасный класс - целочисленное переполнение (integer overflow). Такая уязвимость найдена в библиотеке libyuv, отвечающей за обработку видео, а также в медиа-модулях. Суть проблемы: если значение переменной превышает допустимый предел, оно "перекручивается" и становится маленьким, что может привести к записи данных за границы выделенного буфера. Это открывает путь к атакам, аналогичным "использованию после освобождения".
Особого внимания заслуживает уже упомянутая CVE-2026-11645. Разработчики оценили ее как высокую по шкале опасности и выплатили исследователю, который её обнаружил, вознаграждение в 55 тысяч долларов. Это говорит о том, что брешь была найдена внешним экспертом, а не внутренней командой Google. Награда в 55 тысяч долларов - одна из крупнейших в этой версии, что подчеркивает сложность и потенциальную разрушительность уязвимости. Она представляет собой выход за границы памяти в V8, то есть злоумышленник может получить доступ к участкам оперативной памяти, которые не должен видеть.
Какие системы под ударом? Уязвимости затрагивают версии Chrome младше 149.0.7827.102 для Windows и Linux, а также младше 149.0.7827.103 для macOS. Если ваш браузер автоматически не обновился, он остается открытым для атак. Google уже начала развертывание патча, и он должен дойти до большинства пользователей в ближайшие дни или недели. Однако, учитывая активную эксплуатацию одной из уязвимостей, медлить с обновлением не стоит.
Что это значит для специалистов по информационной безопасности? В первую очередь, необходимо ускорить процесс установки обновлений в корпоративной среде. Администраторам стоит проверить, что все рабочие станции, где используется Chrome, получили версию 149.0.7827.102 или новее. Для этого можно использовать политики управления обновлениями, доступные в Google Admin Console. Кроме того, рекомендуется временно усилить мониторинг сетевой активности: искать подозрительные обращения к сайтам, которые могли бы доставлять вредоносную нагрузку через эту уязвимость.
Отдельно стоит отметить, что среди исправленных проблем есть несколько, связанных с Bluetooth и камерой. Это значит, что атака могла быть проведена не только через веб-сайт, но и через подключенные устройства. Например, уязвимости в Bluetooth могут быть использованы, если злоумышленник находится в зоне действия беспроводного соединения. Хотя на практике такие атаки сложнее реализовать, их нельзя исключать из анализа угроз.
Для обычных пользователей совет прост и односложен: обновите браузер прямо сейчас. Если вы видите сообщение о доступной перезагрузке, не откладывайте её. Убедитесь, что версия вашего Chrome - 149.0.7827.102 или выше (для macOS - 149.0.7827.103). Проверить это можно в меню "Настройки" - "О браузере".
Подводя итог, можно сказать, что июньский выпуск Chrome стал одним из самых масштабных по количеству закрытых уязвимостей за последние годы. Восемьдесят семь различных мест в коде, где потенциально могла быть совершена атака, устранены. Но главный сигнал - это подтверждение активной эксплуатации CVE-2026-11645. В мире информационной безопасности такие уведомления всегда считаются предельно серьёзными. Злоумышленники получили готовый инструмент для атак, и теперь гонка между обновлениями и их использованием идёт буквально на дни. Поэтому не ждите, пока браузер обновится сам - запустите проверку обновлений вручную. Это единственная действенная мера, которая может защитить вас от последствий этой массовой волны уязвимостей.
Ссылки
