Google выпустила внеочередное обновление Chrome 149 и закрыла уязвимость CVE-2026-11645, для которой уже существовал рабочий эксплойт. Проблема затрагивает V8 — движок JavaScript и WebAssembly, который выполняет код веб-страниц в Chrome и других браузерах на базе Chromium.
Обновление вышло для настольных версий браузера. Исправленные сборки: Chrome 149.0.7827.102/.103 для Windows и macOS, Chrome 149.0.7827.102 для Linux. Пользователям и администраторам стоит проверить версию вручную: меню Chrome → «Справка» → «О браузере Google Chrome». После установки обновления браузер нужно перезапустить.
CVE-2026-11645 получила высокий уровень опасности. Уязвимость связана с выходом за границы памяти в V8: браузер мог прочитать или записать данные не там, где должен. Атакующему достаточно заманить пользователя на специально подготовленную HTML-страницу. В результате вредоносный код может выполниться внутри песочницы Chrome.
Песочница — это защитный слой браузера, который ограничивает доступ вкладки к системе. Сам по себе запуск кода внутри песочницы ещё не означает полный контроль над компьютером. Для полноценной атаки злоумышленникам часто нужен второй баг — например, уязвимость для выхода из песочницы. Google не раскрыла детали атак и не опубликовала техническое описание эксплойта, пока значительная часть пользователей не получит исправление. Это обычная практика: ранняя публикация подробностей помогает не исследователям, а тем, кто быстро собирает рабочие эксплойты по свежим патчам.
В бюллетене Google указано, что про CVE-2026-11645 сообщил исследователь под идентификатором 303f06e3. Заявка поступила 27 апреля 2026 года. За находку назначено вознаграждение $55 000. Это не самая крупная сумма в программе Chrome Vulnerability Reward Program, но ощутимая для одной уязвимости в браузерном движке, что доказывает серьёзность бага.
Вместе с CVE-2026-11645 в свежем обновлении Chrome закрыты десятки других проблем. В списке есть критические ошибки use-after-free в Ozone, File Input, Aura, TabStrip, Bluetooth, Autofill, Views, Printing и других компонентах. Use-after-free означает, что программа продолжает работать с участком памяти после его освобождения. Такие ошибки часто приводят к повреждению памяти, могут открывать путь к выполнению кода при обработке обычного веб-контента. Google подтвердила наличие эксплойта «в дикой среде». Ею уже пользовались до массового обновления браузеров.
NVD указывает, что уязвимы версии Chrome до 149.0.7827.103. В карточке CVE также указан вектор CVSS 3.1 от CISA-ADP: атака проводится удалённо, не требует привилегий, но требует действия пользователя. Проще говоря, жертва должна открыть вредоносную страницу или попасть на сайт, где такой код уже размещён. Оценка — 8.8 из 10, высокий уровень.
CISA добавила CVE-2026-11645 в каталог известных эксплуатируемых уязвимостей. Для федеральных гражданских ведомств США установлен срок устранения до 23 июня 2026 года. Для частных компаний этот срок не является обязательным, но сам факт попадания в KEV обычно используют как сигнал для приоритетного патчинга. В корпоративной среде такие обновления лучше не откладывать до планового окна на конец месяца.
Это уже пятая zero-day-уязвимость Chrome, закрытая Google в 2026 году после подтверждённой эксплуатации. Ранее в этом году компания исправляла CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 и CVE-2026-5281.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
