Google закрыла 151 уязвимость в Chrome: 22 бага получили критический уровень

Google выпустила крупное обновление безопасности для Chrome и закрыла 151 уязвимость. В релиз вошли 22 критические проблемы, а часть багов относится к графическому стеку, сетевым компонентам, движку рендеринга, WebGL, WebView, Bluetooth, расширениям и пользовательскому интерфейсу.

Обновление вышло 27 мая 2026 года. Для Windows актуальными стали версии 148.0.7778.216/217, для macOS — 148.0.7778.215/216, для Linux — 148.0.7778.215. Распространение постепенное: часть пользователей получит сборку не сразу, а в течение нескольких дней или недель.

Это обычная практика Chrome. Google выкатывает обновления волнами, а подробности по части уязвимостей временно скрывает. Причина простая: пока большинство пользователей не обновилось, технические детали могут помочь атакующим быстрее собрать рабочие эксплойты. Ограничения также сохраняют для ошибок в сторонних библиотеках, если другие проекты еще не успели выпустить свои исправления.

Самые заметные уязвимости в новом выпуске — CVE-2026-9872, CVE-2026-9873, CVE-2026-9874 и CVE-2026-9875. За первые две Google назначила вознаграждение по 43 тыс. долларов. CVE-2026-9872 связана с выходом за границы памяти при записи в компоненте GPU. CVE-2026-9873 — это use-after-free в Network. CVE-2026-9874 затрагивает Dawn, а CVE-2026-9875 — WebGL.

Use-after-free — один из классических типов ошибок памяти. Программа освобождает участок памяти, но затем продолжает обращаться к нему. В браузере такие баги особенно опасны: специально подготовленная веб-страница может попытаться использовать ошибку для сбоя, порчи памяти или выполнения кода внутри процесса браузера.

Out-of-bounds write тоже относится к опасным ошибкам памяти. В этом случае программа записывает данные за пределы выделенного буфера. Для атакующего это может стать шагом к управлению памятью процесса. На практике итог зависит от песочницы браузера, защит операционной системы, архитектуры компонента и качества самого эксплойта.

Большая часть критических проблем сосредоточена вокруг графики и рендеринга. В списке есть GPU, WebGL, Dawn, ANGLE, Skia и XR. Это важный участок браузера: современные сайты активно используют аппаратное ускорение, 2D- и 3D-графику, обработку видео, интерактивные интерфейсы и веб-приложения, которые всё сильнее напоминают нативный софт.

ANGLE отвечает за прослойку между WebGL и графическими API операционной системы. Dawn связан с WebGPU — современным веб-интерфейсом для работы с графическим процессором. Skia используется для отрисовки графики. Ошибки в таких компонентах часто требуют аккуратной эксплуатации, но потенциальный ущерб высокий, потому что код обрабатывает сложные данные из веб-страниц.

В список критических CVE также вошли ошибки в Bluetooth, Base, Browser, UI, Proxy, WebView, Extensions и Skia. Это не значит, что каждая из них автоматически даёт полный контроль над компьютером. Оценка «Critical» указывает на высокий потенциальный риск при успешной эксплуатации.

Кроме 22 критических проблем, Google закрыла большое количество уязвимостей высокого и среднего уровня. Среди них есть ошибки в DOM, Accessibility, Site Isolation, V8, WebCodecs, PDF/PDFium, WebRTC, Passwords, Media, USB, Headless и других частях браузера. Встречаются use-after-free, выходы за границы памяти, переполнения целых чисел, некорректная проверка входных данных, гонки и использование неинициализированной памяти.

V8 — это JavaScript-движок Chrome. Он регулярно попадает в сводки безопасности, потому что обрабатывает код веб-страниц и является привлекательной целью для атак. WebRTC отвечает за аудио- и видеосвязь в браузере, PDFium — за работу с PDF, Site Isolation — за разделение сайтов по процессам, а WebCodecs даёт веб-приложениям доступ к низкоуровневой обработке медиа.

В этом релизе Google не заявляла о наличии активной эксплуатации исправленных уязвимостей. Для сравнения, в марте 2026 года компания отдельно предупреждала об эксплойте CVE-2026-5281.