
В браузере Google Chrome устранено 27 уязвимостей безопасности: пользователям настоятельно рекомендуется немедленно обновиться!
Компания Google объявила об очередном обновлении безопасности для своего браузера Google Chrome. В рамках этого обновления были устранены 27 уязвимостей безопасности, обнаруженных в браузере. Среди них — две критически важные уязвимости, позволяющие удаленно выполнять произвольный код (Remote Code Execution – RCE).
В результате обновления браузер Chrome на Windows и macOS обновлен до версии 150.0.7871.114/.115, а на Linux — до версии 150.0.7871.114.
Самые опасные уязвимости
Наиболее важные уязвимости, устраненные в этом обновлении:
- CVE-2026-15112 — уязвимость типа Use-After-Free в уровне абстракции платформы Ozone браузера Chrome;
- CVE-2026-15129 — уязвимость типа Use-After-Free в компоненте пользовательского интерфейса Views.
Эти уязвимости связаны с управлением памятью и возникают, когда программа обращается к уже освобожденной области памяти. Такие ситуации могут приводить к повреждению памяти и использоваться злоумышленниками для выполнения вредоносного кода.
При успешной эксплуатации этих уязвимостей пользователь может потерять контроль над своим устройством, просто перейдя на специально созданную вредоносную веб-страницу. В некоторых случаях они могут использоваться в сочетании с другими уязвимостями для выхода из изолированной среды (sandbox) браузера, что создает риск полного захвата операционной системы.
Другие уязвимости высокого уровня
Большинство других уязвимостей, устраненных Google, также были оценены как имеющие высокий уровень опасности и обнаружены в различных компонентах браузера.
В частности:
- использование неинициализированной памяти (Uninitialized Use) в движке V8 JavaScript;
- уязвимости типа Use-After-Free в модулях Autofill, Payments, Input, Core, WebRTC, Forms и InterestGroups;
- целочисленное переполнение (Integer Overflow) в компоненте Extensions API;
- недостаточная проверка пользовательского ввода в компонентах Codecs, WebAppInstalls и DOM;
- некорректное применение политик безопасности в модулях Passwords и Navigation;
- логические ошибки и некорректные реализации в WebGL, GetUserMedia и других компонентах.
В частности, уязвимость с идентификатором CVE-2026-15132 была обнаружена в движке V8 JavaScript, который является сердцем браузера Chrome. Поскольку этот компонент отвечает за выполнение JavaScript-кода на веб-страницах, он является одной из наиболее часто атакуемых частей браузера. Поэтому уязвимости, связанные с V8, часто становятся важным звеном в сложных цепочках эксплуатации.
Кроме того, уязвимость с идентификатором CVE-2026-15108 была обнаружена в модуле Extensions API, что может позволить вредоносным расширениям браузера или специально сформированным данным нарушить целостность браузера.
Почему уязвимости памяти опасны?
В последние годы многие сложные кибератаки на браузеры основываются именно на ошибках управления памятью. Уязвимости типа Use-After-Free, Out-of-Bounds Read/Write, Integer Overflow и Uninitialized Memory могут позволить злоумышленнику выполнить произвольный код путем повреждения памяти программы.
При сочетании с другими методами эксплуатации такие уязвимости могут привести к серьезным последствиям:
- краже пользовательских данных;
- захвату сессий браузера;
- скрытой установке вредоносных программ;
- получению полного контроля над системой.
Как были обнаружены уязвимости?
По данным Google, часть уязвимостей была обнаружена специалистами компании с помощью современных автоматизированных инструментов безопасности.
Среди них:
- AddressSanitizer (ASan) — для обнаружения ошибок, связанных с памятью;
- libFuzzer — для поиска уязвимостей с помощью автоматического фаззинга;
- Control Flow Integrity (CFI) — технология обнаружения нарушений потока управления.
Эти инструменты позволяют выявлять еще не использованные уязвимости на ранних этапах разработки программного обеспечения и значительно повышают безопасность браузера.
Активная эксплуатация пока не зафиксирована
Google сообщила, что на данный момент нет информации об активном использовании этих уязвимостей в интернете. В то же время компания не раскрыла полные технические подробности уязвимостей. Такой подход применяется для предотвращения разработки эксплойтов киберпреступниками и предоставления пользователям достаточного времени для установки обновлений.
В практике кибербезопасности уязвимости, связанные с повреждением памяти, считаются одними из самых опасных категорий. Практика показывает, что такие уязвимости часто превращаются в инструменты эксплуатации и используются в сложных атаках в сочетании с другими уязвимостями.
Рекомендации для пользователей
С точки зрения кибербезопасности рекомендуется предпринять следующие меры:
- как можно скорее обновить Google Chrome до последней версии;
- всегда держать включенной функцию автоматического обновления браузера;
- использовать только расширения браузера, установленные из надежных источников;
- не переходить по неизвестным ссылкам и не посещать подозрительные веб-сайты;
- регулярно обновлять операционную систему и другое программное обеспечение;
- использовать средства защиты, такие как антивирусы и решения класса Endpoint Detection and Response (EDR);
- включить многофакторную аутентификацию (MFA) для важных аккаунтов.
Заключение
Очередное обновление безопасности для Google Chrome устранило 27 уязвимостей, обнаруженных в браузере, включая две критически важные уязвимости, которые могут привести к удаленному выполнению кода. Поскольку современные браузеры представляют собой сложные системы, состоящие из миллионов строк программного кода, периодическое обнаружение в них уязвимостей является естественным процессом. Поэтому регулярное обновление браузера и операционной системы, соблюдение правил надлежащей кибергигиены и следование рекомендациям по безопасности являются одними из наиболее эффективных способов обеспечения кибербезопасности для пользователей.



