Google выпустила Chrome 144 для десктопов, закрыв сразу 10 уязвимостей, включая несколько проблем высокой степени риска в движке V8, который отвечает за обработку JavaScript. Обновление уже начало распространяться с 13 января и доступно для Windows, macOS и Linux.
Новые версии браузера — Chrome 144.0.7559.59 для Linux и 144.0.7559.59/60 для Windows и macOS — приносят не только патчи, но и небольшие улучшения производительности.
Как обычно, апдейт раскатывается постепенно, так что до всех пользователей он дойдёт в течение ближайших дней и недель.
Основной фокус обновления — на уязвимостях в JavaScript-движке V8. Исследователи обнаружили несколько ошибок, связанных с выходом за пределы памяти и некорректной реализацией логики. В худшем сценарии такие баги могут привести к выполнению произвольного кода или выходу за пределы песочницы браузера.
Одна из наиболее опасных уязвимостей, CVE-2026-0899, была обнаружена исследователем под ником @p1nky4745 ещё в ноябре 2025 года. За находку Google выплатила вознаграждение в размере 8 тысяч долларов. Всего в релизе закрыты четыре уязвимости с высокой степенью риска, четыре — со средней и две — с низкой.
Помимо V8, исправления затронули и другие компоненты Chrome: движок рендеринга Blink, механизм загрузки файлов, работу с цифровыми удостоверениями, сетевые политики и элементы интерфейса, связанные с безопасностью.
Google отдельно отметила вклад исследовательского сообщества. За найденные уязвимости участники программы баг-баунти получили вознаграждения от 500 до 8 000 долларов. При этом компания напомнила, что значительная часть проблем выявляется с помощью автоматизированных инструментов — таких как AddressSanitizer, MemorySanitizer, libFuzzer и других средств анализа памяти и поведения кода.
Обновиться можно стандартным способом — через встроенный механизм Chrome. Также свежую версию браузера можно скачать с официального сайта Google. Учитывая количество исправленных уязвимостей и их серьёзность, откладывать обновление явно не стоит.
| CVE-идентификатор |
Степень опасности |
Затронутый компонент |
Класс уязвимости |
Сообщивший исследователь |
Дата репорта |
Сумма вознаграждения |
| CVE-2026-0899 |
Высокая |
V8 |
Out of bounds memory access |
@p1nky4745 |
2025-11-08 |
$8,000 |
| CVE-2026-0900 |
Высокая |
V8 |
Inappropriate implementation |
Google |
2025-12-03 |
TBD |
| CVE-2026-0901 |
Высокая |
Blink |
Inappropriate implementation |
Irvan Kurniawan (sourc7) |
2021-10-04 |
TBD |
| CVE-2026-0902 |
Средняя |
V8 |
Inappropriate implementation |
303f06e3 |
2025-12-16 |
$4,000 |
| CVE-2026-0903 |
Средняя |
Downloads |
Insufficient validation of untrusted input |
Azur |
2025-09-13 |
$3,000 |
| CVE-2026-0904 |
Средняя |
Digital Credentials |
Incorrect security UI |
Hafiizh |
2025-10-15 |
$1,000 |
| CVE-2026-0905 |
Средняя |
Network |
Insufficient policy enforcement |
Google |
2025-12-02 |
TBD |
| CVE-2026-0906 |
Низкая |
UI |
Incorrect security UI |
Khalil Zhani |
2025-12-10 |
$2,000 |
| CVE-2026-0907 |
Низкая |
Split View |
Incorrect security UI |
Hafiizh |
2025-09-12 |
$500 |
| CVE-2026-0908 |
Низкая |
ANGLE |
Use after free |
Glitchers BoB 14th. |
2025-10-15 |
TBD |
