Google Chrome 148: 127 ta xavfli zaiflik bartaraf etildi — brauzerni zudlik bilan yangilash tavsiya etiladi

Google kompaniyasi o‘zining mashhur veb-brauzeri — Google Chrome’ning 148-versiyasini rasman barqaror (“Stable”) kanalga chiqardi. Yangi yangilanish Windows, macOS va Linux tizimlari uchun taqdim etilgan bo‘lib, u nafaqat funksional yaxshilanishlar, balki juda yirik xavfsizlik tuzatishlari bilan ham e’tiborni tortmoqda.

Mutaxassislarning ta’kidlashicha, Chrome 148 so‘nggi yillardagi eng katta xavfsizlik yangilanishlaridan biri hisoblanadi. Chunki ushbu reliz doirasida jami 127 ta xavfsizlik zaifligi bartaraf etilgan. Ularning orasida:

  • 3 ta — “Critical” (o‘ta xavfli),
  • o‘nlab — “High” (yuqori xavfli),
  • qolganlari esa “Medium” va “Low” darajadagi zaifliklar sifatida baholangan.

Kiberxavfsizlik ekspertlari foydalanuvchilarni brauzerni imkon qadar tezroq yangilashga chaqirmoqda.

Chrome’dagi zaifliklar nega xavfli?

Bugungi kunda veb-brauzer oddiy internet dasturidan ancha katta ahamiyatga ega. U:

  • elektron pochta,
  • bank tizimlari,
  • davlat xizmatlari,
  • korporativ platformalar,
  • bulutli servislar,
  • videoaloqa va hujjat aylanish tizimlari

uchun asosiy kirish nuqtasiga aylangan.

Shu sababli brauzerdagi har qanday zaiflik millionlab foydalanuvchilarga tahdid solishi mumkin. Ayniqsa, masofadan kod bajarish (RCE), xotira buzilishi yoki “use-after-free” turidagi nuqsonlar orqali tajovuzkor foydalanuvchi qurilmasini nazorat qilish imkoniga ega bo‘lishi mumkin.

Eng xavfli zaifliklar

Google tomonidan tuzatilgan uchta “Critical” darajadagi zaiflik ayniqsa xavfli deb baholanmoqda.

CVE-2026-7896 — Blink’dagi Integer Overflow

Mazkur zaiflik Chrome’ning Blink rendering dvijogida aniqlangan. Integer overflow turidagi ushbu muammo noto‘g‘ri hisob-kitob natijasida xotira buzilishiga olib kelishi mumkin.

Hujumchi maxsus tayyorlangan zararli veb-sahifa orqali brauzerning ichki mexanizmlarini ishdan chiqarishi yoki kod bajarishga erishishi ehtimoli mavjud.

Google ushbu zaiflikni aniqlagan tadqiqotchiga 43 ming dollar mukofot bergan.

“Use-After-Free” — eng xavfli xotira xatolari

Yana ikki kritik zaiflik:

  • CVE-2026-7897
  • CVE-2026-7898

“use-after-free” turiga mansub.

Bunday xatolar dastur xotiradan bo‘shatilgan obyekt bilan ishlashda davom etganida yuz beradi. Tajovuzkor ushbu xotira hududini qayta manipulyatsiya qilib:

  • ixtiyoriy kod bajarishi,
  • brauzerni egallab olishi,
  • ayrim holatlarda operatsion tizimga chiqib ketishi

mumkin.

Zaifliklardan biri mobil komponentda, ikkinchisi esa Chrome Remote Desktop (Chromoting) modulida aniqlangan.

V8 dvijogidagi jiddiy muammolar

Chrome’ning JavaScript dvijogi hisoblangan V8 ham bu safar ko‘plab hujum ssenariylarining markazida bo‘ldi.

CVE-2026-7899

Mazkur zaiflik V8’da “out-of-bounds read/write” — ya’ni xotiraning ruxsat etilmagan hududiga murojaat qilish imkonini beradi.

Bu zaiflikni aniqlagan tadqiqotchi 55 ming dollar mukofot olgan bo‘lib, bu Chrome 148’dagi eng katta mukofotlardan biri hisoblanadi.

Bunday turdagi nuqsonlar:

  • brauzer xotirasini buzishi,
  • maxfiy ma’lumotlarni sizdirishi,
  • zararli kodni ishga tushirishi

mumkin.

Grafik va WebRTC komponentlaridagi zaifliklar

Chrome 148’da grafik qatlam va real vaqtli aloqa tizimlarida ham bir qator xavfli nuqsonlar bartaraf etildi.

Jumladan:

  • ANGLE grafik abstraksiya qatlamidagi heap buffer overflow,
  • WebRTC’dagi type confusion,
  • GPU komponentlaridagi use-after-free,
  • WebAudio va SVG modullaridagi xotira buzilishlari

tajovuzkorlarga maxsus tayyorlangan saytlar orqali foydalanuvchini nishonga olish imkonini bergan.

Bu kabi hujumlar odatda “drive-by exploit” deb ataladi. Ya’ni foydalanuvchi zararli sahifani oddiygina ochishi ham hujum uchun yetarli bo‘lishi mumkin.

MHTML orqali ma’lumot sizdirish xavfi

Past darajadagi, biroq e’tiborga loyiq zaifliklardan biri — CVE-2026-8022 bo‘lib, u MHTML formatidagi sahifalar bilan bog‘liq.

Mutaxassislar ushbu nuqson yordamida:

  • boshqa domenlarga oid ma’lumotlarni sizdirish,
  • foydalanuvchini chalg‘ituvchi interfeyslar yaratish,
  • maxfiy kontentni o‘qish

mumkinligini ta’kidladi.

Google’ning xavfsizlik infratuzilmasi qanday ishlaydi?

Google ushbu zaifliklarni aniqlashda nafaqat mustaqil tadqiqotchilar, balki avtomatlashtirilgan fuzzing tizimlaridan ham faol foydalangan.

Jumladan:

  • AddressSanitizer,
  • MemorySanitizer,
  • UndefinedBehaviorSanitizer,
  • libFuzzer,
  • AFL

kabi vositalar yordamida millionlab test holatlari avtomatik tekshiriladi.

Bu esa Chrome xavfsizligini doimiy ravishda sinovdan o‘tkazishga imkon beradi.

Tadqiqotchilarga katta mukofotlar berildi

Google xavfsizlik dasturi doirasida zaifliklarni mas’uliyat bilan xabar qilgan tadqiqotchilarga 100 ming dollardan ortiq mukofot puli ajratgan.

Zaifliklarni aniqlashda quyidagi jamoalar faol qatnashgan:

  • KAIST Hacking Lab,
  • Tencent Security Xuanwu Lab,
  • Theori,
  • National Yang Ming Chiao Tung University Security and Systems Lab

va boshqa mustaqil tadqiqotchilar.

Foydalanuvchilar nima qilishi kerak?

Mutaxassislar barcha foydalanuvchilarga Chrome’ni zudlik bilan yangilashni tavsiya qilmoqda.

Yangilash uchun:

  1. Chrome brauzerini oching;
  2. Settings bo‘limiga kiring;
  3. HelpAbout Google Chrome menyusini tanlang;
  4. Brauzer avtomatik tarzda yangi versiyani yuklaydi va o‘rnatadi;
  5. So‘ng brauzerni qayta ishga tushirish talab etiladi.

Yangilangan versiyalar:

  • Windows/macOS: 148.0.7778.96/97
  • Linux: 148.0.7778.96

Nima uchun yangilashni kechiktirmaslik kerak?

Tarix shuni ko‘rsatadiki, Chrome’dagi kritik zaifliklar ko‘pincha ommaga e’lon qilinganidan keyin faol ekspluatatsiya qilina boshlaydi.

Kiberjinoyatchilar:

  • fishing sahifalari,
  • zararli reklama tarmoqlari,
  • eksploit-kitlar,
  • buzilgan saytlar

orqali ushbu zaifliklardan foydalanishga urinishi mumkin.

Agar brauzer yangilanmasa, foydalanuvchi:

  • akkauntlarini yo‘qotishi,
  • maxfiy ma’lumotlari sizdirilishi,
  • tizimiga zararli dastur o‘rnatilishi,
  • masofadan nazorat qilinishi

xavfi ostida qoladi.

Chrome 148 yangilanishi oddiy texnik reliz emas, balki yirik xavfsizlik himoyasi hisoblanadi. 127 ta zaiflikning bir vaqtning o‘zida bartaraf etilgani zamonaviy brauzerlarning naqadar murakkab tizimga aylanganini ko‘rsatadi.

Ayniqsa, V8 dvijogi, WebRTC, GPU va Blink komponentlaridagi kritik xotira xatolari tajovuzkorlar uchun juda qulay hujum nuqtasi bo‘lishi mumkin edi.

Shu sababli, kiberxavfsizlik mutaxassislari foydalanuvchilarga brauzerlarni muntazam yangilab borish, noma’lum havolalardan ehtiyot bo‘lish va xavfsizlik yangilanishlarini e’tiborsiz qoldirmaslikni qat’iy tavsiya etmoqda.