Пора обновляться (опять). Google закрыла 29 дыр в безопасности Chrome

Google выпустила стабильную версию Chrome 146 для Windows, macOS и Linux. Обновление уже начали распространять, а вместе с новой сборкой компания закрыла 29 уязвимостей, среди которых нашлась как минимум одна критическая. Для обычных пользователей смысл новости простой: браузер получил крупный пакет защитных исправлений, поэтому откладывать обновление не стоит.

Новая версия вышла под номерами 146.0.7680.71 для Linux и 146.0.7680.71/72 для Windows и Mac. Полный список изменений Google вынесла в журнал Chromium, а отдельные материалы о новых функциях Chrome 146 компания пообещала опубликовать позже в блогах Chrome и Chromium. Пока главный акцент сделан именно на безопасности.

По данным Google, обновление включает 29 исправлений безопасности. Дополнительные сведения о подходе компании к таким обновлениям собраны на странице Chrome Security.

Самой опасной проблемой в списке стала CVE-2026-3913, критическая ошибка типа heap buffer overflow в компоненте WebML. Такой класс уязвимостей связан с повреждением памяти и в ряде случаев может открыть путь к выполнению вредоносного кода. Сразу за ней Google перечислила несколько уязвимостей высокого уровня опасности, тоже затрагивающих работу с памятью: CVE-2026-3914, CVE-2026-3915, CVE-2026-3916, CVE-2026-3917, CVE-2026-3918, CVE-2026-3919, CVE-2026-3920, CVE-2026-3921, CVE-2026-3922, CVE-2026-3923 и CVE-2026-3924. В перечне встречаются use-after-free, integer overflow, out-of-bounds read и другие ошибки, которые регулярно становятся основой для атак на браузеры.

Отдельно выделяется WebML: модуль фигурирует сразу в нескольких уязвимостях высокого и критического уровня. Для Chrome такой набор находок выглядит особенно чувствительно, потому что ошибки в обработке памяти традиционно считаются одними из самых опасных. Кроме них Google устранила проблемы среднего и низкого уровня в V8, Skia, PDF, ChromeDriver, WebView, DevTools, Clipboard, Navigation, Downloads и ряде интерфейсных механизмов, связанных с отображением предупреждений безопасности. В списке фигурируют, в частности, CVE-2026-3926 в V8, CVE-2026-3931 в Skia, CVE-2026-3932 и CVE-2026-3939 в PDF, CVE-2026-3934 в ChromeDriver, CVE-2026-3936 в WebView, CVE-2026-3938 в Clipboard, CVE-2026-3930 в Navigation и CVE-2026-3937 в Downloads. Часть недостатков не ломала защиту напрямую, но могла вводить пользователя в заблуждение через некорректный интерфейс или ослаблять действие политик безопасности.

Google уточнила, что подробности по части багов и ссылки на отчеты пока могут оставаться закрытыми. Компания часто придерживает технические детали до момента, когда большая часть аудитории успеет установить исправления. Такой подход нужен, чтобы злоумышленники не получили готовые подсказки раньше времени.

За найденные уязвимости Google выплатила исследователям крупные вознаграждения. Максимальная сумма в текущем наборе составила 43 тысячи долларов. Еще 33 тысячи долларов получила критическая находка в WebML. Размер выплат косвенно показывает, насколько серьезными компания считает отдельные ошибки.

Для пользователей практический вывод очень прямой: Chrome 146 стоит установить как можно быстрее. Когда обновление уже доступно в системе, откладывать переход на новую версию браузера нет смысла, особенно при таком количестве исправлений, связанных с памятью и защитными механизмами.