В Chrome 144 закрыли 10 уязвимостей, включая опасные баги в движке V8

Екатерина Быстрова 14 Января 2026 - 21:45

Домашние пользователи

...

Google выпустила Chrome 144 для десктопов, закрыв сразу 10 уязвимостей, включая несколько проблем высокой степени риска в движке V8, который отвечает за обработку JavaScript. Обновление уже начало распространяться с 13 января и доступно для Windows, macOS и Linux.

Новые версии браузера — Chrome 144.0.7559.59 для Linux и 144.0.7559.59/60 для Windows и macOS — приносят не только патчи, но и небольшие улучшения производительности.

Как обычно, апдейт раскатывается постепенно, так что до всех пользователей он дойдёт в течение ближайших дней и недель.

Основной фокус обновления — на уязвимостях в JavaScript-движке V8. Исследователи обнаружили несколько ошибок, связанных с выходом за пределы памяти и некорректной реализацией логики. В худшем сценарии такие баги могут привести к выполнению произвольного кода или выходу за пределы песочницы браузера.

Одна из наиболее опасных уязвимостей, CVE-2026-0899, была обнаружена исследователем под ником @p1nky4745 ещё в ноябре 2025 года. За находку Google выплатила вознаграждение в размере 8 тысяч долларов. Всего в релизе закрыты четыре уязвимости с высокой степенью риска, четыре — со средней и две — с низкой.

Помимо V8, исправления затронули и другие компоненты Chrome: движок рендеринга Blink, механизм загрузки файлов, работу с цифровыми удостоверениями, сетевые политики и элементы интерфейса, связанные с безопасностью.

Google отдельно отметила вклад исследовательского сообщества. За найденные уязвимости участники программы баг-баунти получили вознаграждения от 500 до 8 000 долларов. При этом компания напомнила, что значительная часть проблем выявляется с помощью автоматизированных инструментов — таких как AddressSanitizer, MemorySanitizer, libFuzzer и других средств анализа памяти и поведения кода.

Обновиться можно стандартным способом — через встроенный механизм Chrome. Также свежую версию браузера можно скачать с официального сайта Google. Учитывая количество исправленных уязвимостей и их серьёзность, откладывать обновление явно не стоит.

CVE-идентификатор	Степень опасности	Затронутый компонент	Класс уязвимости	Сообщивший исследователь	Дата репорта	Сумма вознаграждения
CVE-2026-0899	Высокая	V8	Out of bounds memory access	@p1nky4745	2025-11-08	$8,000
CVE-2026-0900	Высокая	V8	Inappropriate implementation	Google	2025-12-03	TBD
CVE-2026-0901	Высокая	Blink	Inappropriate implementation	Irvan Kurniawan (sourc7)	2021-10-04	TBD
CVE-2026-0902	Средняя	V8	Inappropriate implementation	303f06e3	2025-12-16	$4,000
CVE-2026-0903	Средняя	Downloads	Insufficient validation of untrusted input	Azur	2025-09-13	$3,000
CVE-2026-0904	Средняя	Digital Credentials	Incorrect security UI	Hafiizh	2025-10-15	$1,000
CVE-2026-0905	Средняя	Network	Insufficient policy enforcement	Google	2025-12-02	TBD
CVE-2026-0906	Низкая	UI	Incorrect security UI	Khalil Zhani	2025-12-10	$2,000
CVE-2026-0907	Низкая	Split View	Incorrect security UI	Hafiizh	2025-09-12	$500
CVE-2026-0908	Низкая	ANGLE	Use after free	Glitchers BoB 14th.	2025-10-15	TBD

Следующая главная новость »

Самые свежие новости ИТ и ИБ. Обзоры, аналитика, анонсы главных ивентов отрасли.
Подписывайтесь на телеграм-канал!

Екатерина Быстрова 29 Апреля 2026 - 21:33

Уязвимости программ Домашние пользователи Корпорации

В GitHub нашли критическую дыру: можно было получить доступ к репозиториям

Исследователи из Wiz обнаружили критическую уязвимость в GitHub, которая позволяла выполнить код на серверной инфраструктуре платформы через обычную команду git push. Проблема получила идентификатор CVE-2026-3854 и затрагивала GitHub[.]com, корпоративный сервер GitHub и несколько облачных корпоративных версий GitHub.

Суть уязвимости была в ошибке обработки пользовательских параметров при git push.

Атакующему достаточно было иметь доступ на запись хотя бы в один репозиторий, в том числе созданный им самим, чтобы попытаться выполнить произвольные команды на сервере.

Для GitHub Enterprise Server это могло означать полную компрометацию сервера и доступ ко всем репозиториям и внутренним секретам. На GitHub.com риск был ещё больше: из-за общей бэкенд-инфраструктуры злоумышленник теоретически мог получить доступ к миллионам публичных и закрытых репозиториев, расположенных на затронутых узлах.

GitHub быстро закрыл проблему. Патч для GitHub.com развернули 4 марта, а для в GitHub Enterprise Server дыру закрыли 10 марта. По итогам внутреннего расследования корпорация заявила, что признаков эксплуатации уязвимости в реальных атаках не обнаружено.

Однако для корпоративных пользователей риск всё ещё актуален, если они не обновили свои инсталляции GitHub Enterprise Server. По данным Wiz, на момент публикации значительная часть таких серверов всё ещё оставалась без патча. Поэтому администраторам стоит как можно быстрее перейти на обновлённые версии.

В Chrome 144 закрыли 10 уязвимостей, включая опасные баги в движке V8

Читайте также