Google заплатила хакерам тысячи долларов, чтобы вы спали спокойно. Что нового в Chrome 144

Браузер Google Chrome обновился до версии 144 в стабильном канале, и это тот случай, когда обновление стоит поставить не только ради новых функций, но и ради безопасности. Команда Google начала разворачивать релиз для Windows, macOS и Linux, так что в ближайшие дни он постепенно появится у большинства пользователей.

В канал стабильных версий попали сборки Chrome 144.0.7559.59 для Linux и 144.0.7559.59/60 для Windows и Mac. Как обычно, обновление включает набор исправлений и улучшений, а полный список изменений доступен в журнале. Отдельно Google намекнула, что позже выйдут подробные записи в блогах Chrome и Chromium о новых возможностях и крупных изменениях, которые добрались до 144-й версии.

Самая важная часть релиза связана с безопасностью. В Chrome 144 закрыли 10 уязвимостей, а в примечании Google отдельно подчеркнула привычную для таких релизов деталь. Подробности по некоторым багам и ссылкам могут временно скрывать, пока обновление не получит большинство пользователей, чтобы усложнить жизнь тем, кто мог бы попытаться использовать уязвимости до массового патча. Ограничения также могут сохранять, если проблема находится в сторонней библиотеке, от которой зависят и другие проекты, и там еще нет исправления.

Среди наиболее серьезных исправлений выделяются проблемы в V8 и Blink. В частности, закрыта уязвимость CVE-2026-0899, связанная с выходом за границы памяти в движке JavaScript V8. Размер вознаграждения за нахождение уязвимости составил $8000. Еще две уязвимости получили идентификаторы CVE-2026-0900 и CVE-2026-0901. Первая также относится к V8 и была выявлена Google, вторая затрагивает Blink и, судя по данным отчета, была найдена еще в октябре 2021 года. Детали и размер выплат по этим двум случаям пока не раскрыты.

Уязвимости среднего уровня в основном тоже касаются обработки кода и данных. CVE-2026-0902 описана как некорректная реализация в V8 и принесла исследователю $4000. CVE-2026-0903 связана с недостаточной проверкой недоверенного ввода в механизме загрузок, ее нашел исследователь Azur и получил $3000. Еще один баг среднего уровня, CVE-2026-0904, относится к некорректному отображению элементов интерфейса безопасности в функции Digital Credentials, за него выплатили $1000. Также отмечена проблема CVE-2026-0905 в сетевом компоненте, где речь идет о недостаточном применении политик, ее тоже обнаружила Google, но награда пока не названа.

Есть и несколько уязвимостей с низкой оценкой, которые, тем не менее, неприятны тем, что связаны с интерфейсом безопасности и потенциально могут вводить пользователя в заблуждение. Это CVE-2026-0906 и CVE-2026-0907, а также CVE-2026-0908 в ANGLE, где речь идет о use-after-free. По части этих находок выплаты известны, например $2000 и $500, а по другим сумма еще не объявлена.

Google отдельно поблагодарила исследователей, которые помогали находить и закрывать проблемы в течение цикла разработки, чтобы они не дошли до стабильного релиза. Компания также напомнила, что значительная часть багов выявляется автоматизированными инструментами вроде AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity и фаззерами, включая libFuzzer и AFL.

Если у вас включены автоматические обновления, Chrome сам подтянет новую версию, когда дойдет очередь вашего устройства. Если обновления вы ставите вручную, имеет смысл проверить их в ближайшее время, особенно с учетом того, что часть исправлений относится к критически важным компонентам браузера.