Всего неделю назад Google выпустила масштабное исправление безопасности, устранившее сотни программных ошибок. Теперь у миллиардов пользователей настольных компьютеров и мобильных устройств появилась еще одна насущная причина проверить версию своего веб-браузера. Google официально выпустила Chrome версии 149, чтобы устранить активную уязвимость нулевого дня, которую злоумышленники уже используют в реальных атаках.
Уязвимость Google Chrome CVE-2026-11645 устранена обновлением 149
Недостаток с высоким уровнем критичности зарегистрирован как CVE-2026-11645. Он связан со слабостью доступа к памяти за пределами допустимых границ, скрытой глубоко в движке V8 JavaScript и WebAssembly браузера Chrome. Согласно данным, опубликованным Национальной базой данных уязвимостей (NVD), удаленный злоумышленник может использовать эту конкретную лазейку, направив ничего не подозревающих пользователей на вредоносную HTML-веб-страницу. После посещения страница может вызвать повреждение кучи (heap corruption), что позволит злоумышленникам выполнить несанкционированный код непосредственно в изолированной песочнице безопасности веб-браузера. Они также могут обойти традиционные средства защиты, такие как ASLR, чтобы вызвать полный сбой системы.
Охота за современными багами
Независимый исследователь безопасности, известный в сети под псевдонимом «303f06e3», обнаружил уязвимость и ответственно сообщил о ней Google еще в конце апреля. За свои усилия по обеспечению безопасности платформы Google выплатила исследователю значительное вознаграждение за обнаружение уязвимости в размере 55 000 долларов США (по данным Forbes).
Интересно, что более крупный пакет Chrome 149 устраняет более 70 дополнительных уязвимостей безопасности. Среди них 17 отдельных уязвимостей, получивших индекс критической степени серьезности. Почти все эти сопутствующие недостатки были обнаружены внутренними командами безопасности Google. Это говорит о том, что автоматизированные внутренние инструменты тестирования активно помогают инженерам выявлять глубоко укоренившиеся устаревшие ошибки в производственном коде.
В соответствии со стандартным оперативным протоколом при наличии активных угроз нулевого дня Google воздерживается от публикации подробных технических сведений о том, как хакеры осуществляют эксплойт. Сохранение этих конкретных чертежей в тайне не позволяет подражателям разрабатывать собственные варианты.
Как немедленно обезопасить свой рабочий стол
Исправленные сборки программного обеспечения активно развертываются в стабильном публичном канале в виде версий 149.0.7827.102/.103 для Windows и Mac. Также доступна версия 149.0.7827.102 для сред Linux и Android. Кроме того, всем пользователям альтернативных веб-браузеров на базе Chromium — таких как Microsoft Edge, Brave, Opera или Vivaldi — следует внимательно следить за соответствующими обновлениями от своих разработчиков в ближайшие дни.
Chrome автоматически загружает и применяет исправления безопасности в фоновом режиме во время обычной работы. Однако из-за поэтапного выпуска может потребоваться несколько дней или даже недель, чтобы обновление органически достигло каждой машины.
Это уже пятая уязвимость нулевого дня, активно используемая в атаках, которую Google пришлось устранять с начала года. Следовательно, ожидание автоматического обновления создает ненужный риск.
Чтобы обойти очередь и принудительно установить исправление немедленно на вашем рабочем столе, нажмите на значок меню с тремя точками в правом верхнем углу интерфейса браузера, перейдите в раздел «Справка» (Help) и выберите «О Google Chrome» (About Google Chrome). Браузер немедленно обратится к серверам Google и загрузит обновление версии 149. Затем он предложит вам перезапустить программу, чтобы убедиться, что ваше устройство полностью защищено от продолжающихся веб-атак.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jean Leon
