В Chrome 144 закрыли 10 уязвимостей, включая опасные баги в движке V8

Екатерина Быстрова 14 Января 2026 - 21:45

Домашние пользователи

...

Google выпустила Chrome 144 для десктопов, закрыв сразу 10 уязвимостей, включая несколько проблем высокой степени риска в движке V8, который отвечает за обработку JavaScript. Обновление уже начало распространяться с 13 января и доступно для Windows, macOS и Linux.

Новые версии браузера — Chrome 144.0.7559.59 для Linux и 144.0.7559.59/60 для Windows и macOS — приносят не только патчи, но и небольшие улучшения производительности.

Как обычно, апдейт раскатывается постепенно, так что до всех пользователей он дойдёт в течение ближайших дней и недель.

Основной фокус обновления — на уязвимостях в JavaScript-движке V8. Исследователи обнаружили несколько ошибок, связанных с выходом за пределы памяти и некорректной реализацией логики. В худшем сценарии такие баги могут привести к выполнению произвольного кода или выходу за пределы песочницы браузера.

Одна из наиболее опасных уязвимостей, CVE-2026-0899, была обнаружена исследователем под ником @p1nky4745 ещё в ноябре 2025 года. За находку Google выплатила вознаграждение в размере 8 тысяч долларов. Всего в релизе закрыты четыре уязвимости с высокой степенью риска, четыре — со средней и две — с низкой.

Помимо V8, исправления затронули и другие компоненты Chrome: движок рендеринга Blink, механизм загрузки файлов, работу с цифровыми удостоверениями, сетевые политики и элементы интерфейса, связанные с безопасностью.

Google отдельно отметила вклад исследовательского сообщества. За найденные уязвимости участники программы баг-баунти получили вознаграждения от 500 до 8 000 долларов. При этом компания напомнила, что значительная часть проблем выявляется с помощью автоматизированных инструментов — таких как AddressSanitizer, MemorySanitizer, libFuzzer и других средств анализа памяти и поведения кода.

Обновиться можно стандартным способом — через встроенный механизм Chrome. Также свежую версию браузера можно скачать с официального сайта Google. Учитывая количество исправленных уязвимостей и их серьёзность, откладывать обновление явно не стоит.

CVE-идентификатор	Степень опасности	Затронутый компонент	Класс уязвимости	Сообщивший исследователь	Дата репорта	Сумма вознаграждения
CVE-2026-0899	Высокая	V8	Out of bounds memory access	@p1nky4745	2025-11-08	$8,000
CVE-2026-0900	Высокая	V8	Inappropriate implementation	Google	2025-12-03	TBD
CVE-2026-0901	Высокая	Blink	Inappropriate implementation	Irvan Kurniawan (sourc7)	2021-10-04	TBD
CVE-2026-0902	Средняя	V8	Inappropriate implementation	303f06e3	2025-12-16	$4,000
CVE-2026-0903	Средняя	Downloads	Insufficient validation of untrusted input	Azur	2025-09-13	$3,000
CVE-2026-0904	Средняя	Digital Credentials	Incorrect security UI	Hafiizh	2025-10-15	$1,000
CVE-2026-0905	Средняя	Network	Insufficient policy enforcement	Google	2025-12-02	TBD
CVE-2026-0906	Низкая	UI	Incorrect security UI	Khalil Zhani	2025-12-10	$2,000
CVE-2026-0907	Низкая	Split View	Incorrect security UI	Hafiizh	2025-09-12	$500
CVE-2026-0908	Низкая	ANGLE	Use after free	Glitchers BoB 14th.	2025-10-15	TBD

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 15 Января 2026 - 10:40

Информационные войны Утечки информации Умышленные утечки информации Кража данных Общее

Взлом MAX оказался фейком: в мессенджере опровергли утечку данных

История о «полном взломе» национального мессенджера MAX оказалась фейком. Информацию, которая накануне разошлась по телеграм-каналам, в самой платформе назвали недостоверной и не имеющей отношения к реальности.

Как сообщили ТАСС в пресс-службе MAX, сообщение об утечке данных поступило из анонимного источника и не подтвердилось по итогам проверки. «Информация из анонимного источника — очередной фейк», — подчеркнули представители мессенджера в ответ на запрос агентства.

После появления слухов специалисты центра безопасности MAX провели проверку и не нашли никаких признаков компрометации. В компании отдельно уточнили, что платформа не использует зарубежные сервисы хранения данных, включая Amazon AWS, а все данные пользователей хранятся исключительно на российских серверах.

Кроме того, в MAX не применяется метод хеширования паролей Bcrypt, анализ логов не выявил подозрительной активности, а обращений по этому поводу в программу баг-баунти также не поступало.

Отдельно в компании прокомментировали «доказательства», которые анонимные авторы публиковали в сети. По словам представителей MAX, эти данные не имеют никакого отношения к мессенджеру.

Платформа просто не хранит информацию в том формате, который был выложен: в MAX отсутствуют сведения о локации, дате рождения, электронной почте, ИНН, СНИЛС и других персональных данных. Более того, в мессенджере нет username и «уровней аккаунта» — пользователей там в принципе не маркируют по каким-либо «уровням».

Напомним, ранее анонимная группа заявила, что якобы в течение года пыталась взломать MAX и смогла скопировать базу из 15-15,4 млн аккаунтов, включая ФИО, логины и номера телефонов. В качестве подтверждения в Сеть была выложена часть якобы похищенных данных.

Однако после реакции MAX и публикаций в СМИ пользователь, распространивший информацию об утечке, признал, что это был фейк и никакого взлома не происходило.

В итоге в компании резюмировали коротко и однозначно:

«Данные пользователей MAX надёжно защищены».

А вся история с «масштабной утечкой» оказалась очередным примером того, как анонимные вбросы могут быстро разойтись по Сети — и так же быстро рассыпаться при проверке фактами.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »