Новое обновление браузера Google Chrome исправляет критическую ошибку и десятки угроз безопасности

Недавно Google сделал важный пакет исправлений доступным для пользователей своего основного браузера в глобальном масштабе. Сто сорок шестая версия программного обеспечения была выпущена для стабильных каналов операционных систем Windows, Mac и Linux и содержит окончательные решения для двадцати девяти задокументированных уязвимостей безопасности. Изюминкой пакета исправлений является ошибка, классифицированная как максимальная степень серьезности, которая потенциально может позволить вредоносным агентам удаленно выполнять код через веб-страницы, специально обработанные для этой цели.

Обновленное программное обеспечение распространяется постепенно, последовательно достигая компьютеров пользователей, чтобы обеспечить стабильность сетей загрузки. Точные сборки, продвигаемые технологическим гигантом, соответствуют конкретным цифрам для каждой операционной среды, обеспечивая полную совместимость с современными аппаратными архитектурами. Быстрое выявление и устранение этих нарушений представляет собой постоянную работу инженерных групп по поддержанию целостности информации, ежедневно обрабатываемой миллиардами людей.

Современная цифровая среда требует быстрого реагирования на постоянно развивающиеся киберугрозы. Выпуск этого пакета безопасности подчеркивает необходимость тщательного обслуживания программного обеспечения для доступа в Интернет, которое служит основным шлюзом для банковских услуг, корпоративных коммуникаций и хранения личных данных. Архитектура браузера была изменена таким образом, чтобы блокировать вновь обнаруженные маршруты эксплойтов, прежде чем их можно будет использовать в крупномасштабных атаках.

Технические подробности о самой серьёзной уязвимости пакета

Самая серьезная уязвимость безопасности, устраненная в этом раунде обновлений, получила код отслеживания CVE-2026-3913 в международных реестрах кибербезопасности. Техническая проблема заключается в программной ошибке, известной как переполнение буфера кучи, расположенной непосредственно внутри компонента WebML. Этот внутренний модуль браузера отвечает за поддержку вывода высокопроизводительных моделей машинного обучения, работающих непосредственно на устройстве пользователя без необходимости обработки на внешних серверах.

Механика атаки, основанной на этой уязвимости, требует, чтобы цель получила доступ к странице, созданной с использованием вредоносного HTML-кода. При обработке инструкций страницы движок браузера не может управлять выделенной памятью, что позволяет данным превышать ограничения безопасности, установленные системой. Такое повреждение кучи памяти создает для злоумышленника окно возможностей для внедрения и выполнения произвольных команд на уровне привилегий приложения, ставя под угрозу компьютер жертвы незаметно и без необходимости дальнейшего взаимодействия.

Финансовое вознаграждение и роль независимых исследователей

Обнаружение критической уязвимости произошло не внутри компании, а в результате сотрудничества с внешним сообществом информационной безопасности. Исследователь Тобиас Винанд отвечал за выявление и сообщение об ошибке повреждения памяти в компоненте машинного обучения.

В знак признания аналитической работы и ответственного подхода профессионал получил денежное вознаграждение в размере тридцати трех тысяч долларов. Этот платеж является частью официальной программы вознаграждения за ошибки, поддерживаемой разработчиком браузера.

Инициативы финансового вознаграждения имеют основополагающее значение для современной экосистемы цифровой безопасности. Они поощряют высококвалифицированных экспертов тратить свое время на поиск сложных дыр, гарантируя, что недостатки будут исправлены до того, как они попадут на подпольный рынок эксплуатации уязвимостей.

Риски, связанные с компонентами искусственного интеллекта в браузере

Интеграция возможностей искусственного интеллекта непосредственно в веб-браузеры усложнила исходный код приложений. Модуль WebML, в котором сосредоточены основные исправления этого пакета, иллюстрирует эту технологическую тенденцию, позволяя локально выполнять тяжелые задачи нейронной обработки.

Локальная обработка предлагает значительные преимущества с точки зрения конфиденциальности и скорости, поскольку пользовательским данным не нужно перемещаться через Интернет. Однако доступ к этому механизму обработки ненадежного веб-контента создает значительную поверхность атаки для злоумышленников.

Ошибки в компонентах расширенного рендеринга и обработки особенно опасны, поскольку они действуют за кулисами повседневного просмотра. Обычный пользователь не замечает активации этих модулей при загрузке современной интерактивной страницы.

Концентрация множества уязвимостей в одном современном компоненте демонстрирует инженерные проблемы, с которыми сталкиваются технологические компании. Стремление к инновациям и передовым функциям должно постоянно сочетаться со строгим аудитом безопасности реализованного кода.

Отображение серьезных недостатков и их соответствующих целей

Помимо критической проблемы, пакет обновления устранил одиннадцать уязвимостей, отнесенных к категории высокого риска. Исследователь Чинзинга сообщил об CVE-2026-3914, характеризующемся как целочисленное переполнение, также расположенное в модуле WebML, а Тобиас Винанд задокументировал CVE-2026-3915, еще одно переполнение буфера кучи в том же секторе.

Leia Tambem

Samsung выпускает новое обновление системы с новыми функциями для пользователей Galaxy Watch 4

Значительная скидка на Galaxy S25 Plus снижает стоимость в интернет-магазине до уровня ниже 4500 реалов.

Слух предполагает, что Nintendo готовит специальное издание Switch 2 с ремейком Ocarina of Time

Масштаб серьезных сбоев выходит за рамки инструментов искусственного интеллекта. Запись CVE-2026-3916, например, описывает уязвимость чтения из-за нехватки памяти в компоненте Web Speech, отвечающем за функции распознавания и синтеза речи браузера.

Векторы атак и механика повреждения памяти

Технический отчет об обновлении раскрывает тревожную картину уязвимостей, связанных с использованием памяти после того, как она была освобождена системой, – недостаток, технически известный как использование после освобождения. Этот тип ошибки программирования влияет на широкий спектр внутренних компонентов, необходимых для функционирования программного обеспечения, включая такие модули, как агенты, WebMCP, система расширений, TextEncoding, MediaStream, WebMIDI и WindowDialog. Когда программа пытается получить доступ к адресу памяти, который уже был очищен и возвращен операционной системе, поведение приложения становится непредсказуемым. Опытные злоумышленники используют эту непредсказуемость для манипулирования указателями памяти и перенаправления потока выполнения программы на ранее вставленный вредоносный код. Компрометация модулей, таких как расширения или медиапотоки, резко увеличивает риск несанкционированного доступа к конфиденциальным данным, таким как сохраненные пароли, история просмотров и информация, полученная периферийными устройствами, подключенными к компьютеру, что требует немедленного реагирования посредством установки пакета исправлений.

Технические процедуры проверки и установки пакета

Поддержание безопасности среды просмотра требует от пользователей принятия упреждающих мер. Для обеспечения защиты от описанных угроз необходимо проверить текущую версию программного обеспечения, зайдя в меню настроек и перейдя в раздел справки и информации о приложении.

Система обновлений предназначена для бесшумной и автоматической работы в подавляющем большинстве сценариев использования. Если процесс не был завершен в фоновом режиме, в интерфейсе отобразится специальная кнопка для принудительной загрузки пакета, требующая только перезапуска программы, чтобы новые строки кода вступили в силу.

Системные требования и доступность для разных платформ

Последняя версия браузера поддерживает официальную поддержку наиболее используемых на рынке платформ персональных компьютеров. Программное обеспечение полностью совместимо с десятой и одиннадцатой редакциями операционной системы Microsoft, а также предлагает встроенные и оптимизированные установщики для экосистем и дистрибутивов Apple на основе ядра Linux.

Дополнительные меры защиты для повседневного плавания

Установка пакетов исправлений представляет собой лишь первую линию защиты в комплексной стратегии кибербезопасности. Эксперты рекомендуют, чтобы обновления программного обеспечения сопровождались осторожным и осознанным просмотром страниц.

Предотвращение атак с удаленным выполнением кода предполагает отказ от перехода по ссылкам сомнительного происхождения, особенно по ссылкам, полученным через нежелательные сообщения или найденным на форумах сомнительного происхождения.

Браузер предлагает встроенные расширенные функции защиты, которые можно активировать из меню конфиденциальности. Эти инструменты выполняют проверки в режиме реального времени на наличие вредоносных баз данных веб-сайтов, блокируя загрузку опасных скриптов до того, как они достигнут уязвимых механизмов обработки.

Мелкие исправления и общая стабильность программного обеспечения.

Цикл разработки сто сорок шестой версии не ограничивался только серьезными угрозами. Инженеры-программисты воспользовались окном запуска для реализации решений для нескольких уязвимостей средней и низкой степени серьезности, которые можно было использовать в более сложных цепочках атак.

Среди решенных второстепенных проблем — исправление утечки информации по побочным каналам в компоненте ResourceTiming, корректировка небезопасных маршрутов навигации и устранение переполнения буфера в графической библиотеке Skia. Дополнительные улучшения в обеспечении политик безопасности для PDF-документов и управлении сторонними расширениями в значительной степени способствуют общей стабильности приложения, усиливая приверженность компании защите цифровой целостности ее обширной глобальной базы пользователей.