Экстренное обновление Chrome 146 исправляет две уязвимости нулевого дня

В новых версиях Chrome 146.0.7680.75/76 для Windows и macOS и 146.0.7680.75 для Linux разработчики исправили две уязвимости безопасности. По данным Google, обе уязвимости уже используются для атак в дикой природе. Это обновление выходит всего через день после версий Chrome 146.0.7680.71/72 для Windows и macOS и 146.0.7680.71 для Linux, в которых исправлено еще 29 уязвимостей.

В сообщении блога Chrome Releases Шринивас Систа перечисляет две только что исправленные уязвимости безопасности. Они были обнаружены внутри компании 10 февраля и относятся к категории высокого риска.

Как правило, Chrome автоматически обновляется при появлении новой версии. Но если у вас его еще нет, вы можете вручную запустить обновление через пункт меню. Справка > О Google Chrome.

Уязвимости безопасности нулевого дня

Первой уязвимостью безопасности нулевого дня является ошибка в графической библиотеке Skia (CVE-2026-3909), которая позволяет осуществлять доступ для записи к адресам памяти за пределами границ предопределенного буфера («запись за пределами границ»).

Вторая уязвимость нулевого дня (CVE-2026-3910) обнаружена в движке JavaScript V8 и описана как «неподходящая реализация». Остается неясным, что именно было реализовано неправильно и почему это такая проблема.

Google по-прежнему хранит молчание о характере и масштабах атак, использующих эти уязвимости.

Важный: Независимо от того, постоянно ли вы обновляете свой браузер, вам необходима надежная антивирусная защита, если вы хотите, чтобы ваш компьютер оставался безопасным и конфиденциальным. Ознакомьтесь с нашей подборкой лучших антивирусных программ для Windows, а также лучших VPN-сервисов, чтобы избежать проблем с безопасностью.

Что еще исправлено в Chrome 146?

Всего двумя днями ранее, 10 марта, Google выпустила новую основную версию Chrome 146, о которой вы можете прочитать в этой записи блога Chrome Releases. Это обновление исправило 29 уязвимостей безопасности, почти все из которых были обнаружены внешними исследователями безопасности.

Одна из уязвимостей (CVE-2026-3913) классифицируется как критическая — переполнение буфера в компоненте WebML. Тобиас Винанд, обнаруживший эту уязвимость, получил за нее вознаграждение в размере 33 000 долларов. Он также получил дополнительные 43 000 долларов за CVE-2026-3915, еще одно переполнение буфера WebML (хотя оно классифицируется только как высокий риск).

Одиннадцать уязвимостей безопасности были отнесены к высокому риску, а еще одиннадцать — к среднему. На данный момент Google выплатила более 200 000 долларов тем, кто обнаружил эти уязвимости. В некоторых случаях Google еще не определил размер соответствующих вознаграждений.