31 дыра и награда $90000. Google выпустил экстренное обновление браузера

Пока пользователи спокойно листают страницы, в браузере могут скрываться десятки опасных ошибок. На этот раз команда Google Chrome закрыла сразу 31 уязвимость, часть из которых получила оценку "критическая". Свежие версии уже начали распространяться для разных платформ. Для Windows и macOS вышел Chrome 147.0.7727.101 и 147.0.7727.102, для Linux – 147.0.7727.101. Обновления приходят постепенно, в течение нескольких дней или недель.

Самые опасные проблемы связаны с повреждением памяти. Разработчики исправили переполнение буфера в графическом слое ANGLE (CVE-2026-6296) и аналогичную ошибку в библиотеке Skia. Обе уязвимости позволяют выйти за пределы выделенной памяти, что в теории открывает путь к выполнению чужого кода.

Ещё одна критическая ошибка – использование освобождённой памяти в компоненте Proxy (CVE-2026-6297). Подобные баги регулярно становятся основой для атак, поскольку позволяют вмешиваться в работу браузера после освобождения ресурсов. Похожая проблема нашлась и в механизме предварительной загрузки страниц.

Среди уязвимостей с высоким уровнем риска – десятки ошибок того же класса в обработке видео, CSS, файловой системе, кодеках и графике. Нашлись и проблемы с обходом ограничений безопасности, включая некорректную работу политики доступа и механизмов междоменного взаимодействия.

За обнаружение части багов компания выплатила вознаграждения. Самая крупная выплата составила 90 000 долларов.

Обновления затронули и другие версии браузера. На Android вышел Chrome 147.0.7727.101 с теми же исправлениями безопасности, а для ChromeOS доступна новая стабильная версия системы с обновлённым браузером. Отдельно обновили канал с длительной поддержкой, где закрыли несколько уязвимостей в WebGL и WebRTC.

Подробности многих ошибок пока не раскрывают. Разработчики традиционно ограничивают доступ к технической информации, пока обновление не установит большинство пользователей.