Новая стабильная версия Chrome — 148.0.7778.96 для Linux и 148.0.7778.96/.97 для Windows и macOS. Распространение идёт постепенно и может занять несколько дней или недель, поэтому ждать автоматического обновления не лучшая идея. Проверка запускается вручную через меню Настройки → Справка → О браузере Google Chrome. После установки браузер нужно перезапустить.
Главная уязвимость релиза — CVE-2026-7896, критическая ошибка переполнения целого числа в Blink. Blink — движок отрисовки Chrome: он разбирает HTML, CSS и другие элементы страницы. Уязвимость такого класса может привести к повреждению памяти при обработке специально подготовленной веб-страницы. Исследователь, который сообщил о проблеме 18 марта, получил от Google вознаграждение $43 тыс.
Ещё две критические ошибки нашли внутри Google. CVE-2026-7897 — use-after-free в компоненте Mobile, CVE-2026-7898 — use-after-free в Chromoting, компоненте, связанном с Chrome Remote Desktop. Use-after-free — это ошибка работы с памятью, когда программа продолжает обращаться к уже освобождённому участку. В браузерах такие баги ценятся атакующими особенно высоко: при удачном сценарии они могут стать частью цепочки для выполнения кода.
Список исправлений шире трёх критических CVE. Chrome 148 закрывает более 30 уязвимостей высокой опасности. Среди них — выход за границы чтения и записи в V8, переполнение буфера в ANGLE, ошибки use-after-free в SVG, DOM, Fullscreen, GPU, Skia, Passwords, ServiceWorker, WebRTC, PresentationAPI и MediaRecording. V8 отвечает за выполнение JavaScript, ANGLE переводит графические вызовы, WebRTC используется для аудио- и видеосвязи в браузере. Ошибка в любом из этих компонентов может быть полезна для атаки через страницу, расширение, медиаконтент или веб-приложение.
Самое крупное раскрытое вознаграждение в этом релизе получил Project WhatForLunch: $55 тыс. за CVE-2026-7899, уязвимость высокой опасности с чтением и записью за пределами допустимой области памяти в V8. Такие баги неприятны тем, что JavaScript запускается почти на любом сайте, а значит, поверхность атаки у движка огромная.
Google обычно не раскрывает технические подробности сразу. Компания прямо пишет, что доступ к деталям и ссылкам на баги может оставаться ограниченным, пока большинство пользователей не обновится.
SecurityWeek подсчитала, что больше 60 исправленных ошибок относятся к средней степени опасности, остальные — к низкой. В сумме Google уже указала $138 тыс. выплат внешним исследователям, но финальная сумма может оказаться выше: для части багов размер вознаграждения ещё не раскрыт.
Отдельный важный момент: Chrome — не единственный браузер, завязанный на Chromium. Исправления в базе Chromium обычно важны и для других Chromium-браузеров, но график доставки патчей зависит от конкретного разработчика. Пользователям Edge, Brave, Opera, Vivaldi и других браузеров стоит проверить собственные обновления, а не считать, что патч Chrome автоматически закрыл проблему везде.
Масштаб релиза выглядит необычно крупным. Но большая часть багов найдена до стабильного релиза, включая внутренние находки Google.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
