Google и Mozilla выпустили срочные обновления Chrome 150 и Firefox 152. Браузеры закрывают четыре критические уязвимости, связанные с повреждением памяти, обработкой WebAssembly, изоляцией сайтов и системным графическим слоем Chromium.
Самая тревожная ситуация сложилась вокруг Firefox. Для обеих исправленных ошибок уже существует общедоступный код эксплуатации. Mozilla пока не обнаружила подтверждённых атак, однако публикация готового примера резко сокращает время, необходимое для подготовки рабочего вредоносного сценария. Обновление Firefox 152.0.6 вышло 14 июля 2026 года.
Chrome получил более крупный пакет из 15 исправлений. Две уязвимости имеют критический уровень опасности, ещё 12 признаны опасными и одна получила среднюю оценку. Новые сборки распространяются для Windows, macOS и Linux.
Firefox атакуют через WebAssembly и навигацию между сайтами
Первая критическая ошибка Firefox зарегистрирована под номером CVE-2026-15718. Она находится в компоненте JavaScript: WebAssembly и связана с использованием некорректного указателя памяти.
WebAssembly — компактный двоичный формат, который браузер выполняет с производительностью, близкой к обычным приложениям. Он позволяет запускать в веб-среде программы, изначально написанные на C, C++, Rust и других языках. Технологию применяют в играх, редакторах, системах обработки графики, видеосервисах и сложных корпоративных приложениях.
Ошибка указателя означает, что браузер может обратиться к неправильному участку памяти. Точный сценарий эксплуатации Mozilla пока не раскрывает. Для подобных дефектов последствия зависят от расположения ошибки и защитных механизмов браузера: возможны аварийное завершение процесса, чтение чужих данных или повреждение памяти.
Mozilla присвоила CVE-2026-15718 критический уровень. Исследовательский код уже находится в открытом доступе, но случаев применения против пользователей разработчики не зафиксировали. Уязвимость обнаружил специалист Mozilla Christian Holler.
Вторая ошибка, CVE-2026-15719, затрагивает изоляцию сайтов в компоненте DOM: Navigation. DOM, или объектная модель документа, представляет открытую страницу в виде структуры, с которой работают сценарии и сам браузер. Навигационный модуль управляет переходами между документами, вкладками, страницами и встроенными элементами.
Современный Firefox размещает содержимое разных сайтов в раздельных процессах. Такая архитектура называется Fission. Изолированный процесс привязывается к конкретному сайту и не должен загружать содержимое другого домена. Это снижает ущерб, если вредоносной странице удаётся повредить процесс обработки веб-контента.
CVE-2026-15719 нарушает работу этого защитного слоя при навигации. Публичное описание не раскрывает, можно ли использовать ошибку для чтения данных другого сайта, выхода за пределы процесса или другого способа обхода изоляции. Mozilla ограничилась критической оценкой и предупреждением о доступном коде эксплуатации.
Обнаружил уязвимость исследователь Atsushi Sada. Подтверждённых атак через CVE-2026-15719 также нет. Обе ошибки закрыты только в Firefox 152.0.6 — пользователям более ранних сборок необходимо обновиться.
Chrome закрыл две критические ошибки в Ozone
Основную угрозу в Chrome представляют CVE-2026-15764 и CVE-2026-15765. Обе относятся к классу use-after-free — обращению к памяти после её освобождения — и находятся в компоненте Ozone.
Ozone служит прослойкой между оконной системой Chromium и низкоуровневыми механизмами графики и ввода. Через неё браузер взаимодействует с экраном, окнами, мышью, клавиатурой и платформенными графическими подсистемами. Компонент используется в ChromeOS, Linux и других конфигурациях Chromium.
При ошибке use-after-free программа продолжает использовать указатель на участок памяти, который уже был освобождён. Позже этот участок может получить другое содержимое. Специально подготовленные данные способны вызвать повреждение памяти и изменить ход выполнения программы. Этот класс ошибок регулярно используется в цепочках атак на браузеры.
Обе критические уязвимости Ozone обнаружили внутренние специалисты Google в конце мая. Разработчики пока закрыли технические карточки ошибок и не раскрыли условия успешной атаки. Такая практика должна дать пользователям и создателям зависимых продуктов время на установку исправлений. Google также не сообщила о применении CVE-2026-15764 или CVE-2026-15765 в реальных атаках.
Chrome 150 закрывает 12 уязвимостей высокого уровня. Они находятся в движке JavaScript V8, графической библиотеке Skia, модуле обработки изображений libyuv, графическом процессоре, медиакомпонентах, пользовательском интерфейсе и основном коде браузера.
CVE-2026-15766 связана с использованием неинициализированной памяти в Skia. При такой ошибке программа читает участок памяти до того, как туда было записано ожидаемое значение. Результатом может стать утечка оставшихся данных, непредсказуемое поведение или подготовка более сложной цепочки эксплуатации.
CVE-2026-15767 представляет собой переполнение буфера в куче библиотеки libyuv, используемой для преобразования изображений и видеокадров. Браузер может записать данные за границами выделенного блока памяти. Подобные ошибки способны привести к падению процесса или выполнению чужого кода при подходящих условиях.
Ещё две проблемы затрагивают проверку политик безопасности. CVE-2026-15768 обнаружена в механизме HTML-in-Canvas, а CVE-2026-15775 — в движке V8. Google пока не раскрыла, какие именно ограничения удавалось обойти.
CVE-2026-15770 связана с неинициализированной памятью в V8. CVE-2026-15776 представляет собой путаницу типов в том же движке. Такая ошибка возникает, когда программа создаёт объект одного типа, а затем пытается работать с ним как с объектом другого типа. Результатом может стать обращение к неправильным данным и повреждение памяти.
Ошибки use-after-free также исправлены в графическом процессоре, Skia, ядре Chrome и пользовательском интерфейсе. Ещё одна уязвимость появилась из-за недостаточной проверки непроверенных данных в медиакомпоненте. Отдельное исправление потребовалось механизму оформления Chrome для Linux.
Три ошибки передали внешние исследователи. CVE-2026-15773 в основном коде браузера обнаружил специалист Microsoft, CVE-2026-15775 нашёл независимый исследователь, CVE-2026-15776 сообщил Salvatore Gulizia. Остальные уязвимости выявили внутренние системы и сотрудники Google.
Для Chrome безопасными являются версии 150.0.7871.124 или 150.0.7871.125 на Windows и macOS. Для Linux выпущена версия 150.0.7871.124. Google распространяет обновление постепенно, поэтому на отдельных устройствах оно может появиться позднее.
Версию Chrome можно проверить через меню «Справка» → «О браузере Google Chrome». Открытие этой страницы запускает проверку обновлений. После загрузки новой сборки браузер необходимо перезапустить, иначе старый уязвимый процесс продолжит работать.
Firefox необходимо обновить до версии 152.0.6. Проверка находится в меню «Справка» → «О Firefox». Браузер автоматически загружает обновления при стандартных настройках, но установка также требует перезапуска.
Читайте также:
Chrome закрыл две критические уязвимости
Вопросы и ответы
Какие браузеры затронуты?
Исправления выпущены для настольного Google Chrome 150 и Firefox 152. В Chrome необходимо установить сборку 150.0.7871.124 или новее, в Firefox — 152.0.6.
Для каких ошибок уже существует эксплойт?
Mozilla сообщила о публичном коде эксплуатации CVE-2026-15718 и CVE-2026-15719. Обе уязвимости затрагивают Firefox.
Эти эксплойты уже применяют против пользователей?
Подтверждений нет. Mozilla не зафиксировала атак через две ошибки Firefox. Google также не сообщала об активной эксплуатации уязвимостей из нового пакета Chrome.
Достаточно закрыть вкладки?
Нет. После загрузки обновления браузер нужно полностью перезапустить. На корпоративных компьютерах может потребоваться принудительное завершение старых процессов.
Что такое use-after-free?
Это обращение к участку памяти после его освобождения. Атакующий может попытаться занять тот же участок подготовленными данными и заставить программу использовать их вместо ожидаемого объекта.
Почему уязвимость WebAssembly опасна?
WebAssembly выполняется внутри браузера и предназначен для быстрого запуска сложного кода. Ошибка обработки памяти в этом компоненте может сработать при разборе специально подготовленного модуля.
Что делает изоляция сайтов?
Она разделяет сайты по разным процессам. Взлом одной страницы не должен автоматически давать доступ к содержимому другой вкладки или домена.
Нужно ли удалять и заново устанавливать браузер?
Обычно нет. Достаточно запустить штатное обновление, дождаться загрузки новой версии и перезапустить программу.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.