Google и Mozilla выпустили свежие обновления безопасности для Chrome и Firefox, закрыв в сумме 73 уязвимости. По данным SecurityWeek, Chrome обновлён до версий 149.0.7827.155/.156 для Windows и macOS и 149.0.7827.155 для Linux. Релиз закрывает 33 дефекта безопасности, 32 из которых были найдены Google. Firefox 152, в свою очередь, вышел в стабильный канал с исправлениями для 40 уязвимостей.

Наиболее опасная часть набора Chrome — семь критических уязвимостей, о которых говорится в advisory Google. Шесть из них относятся к use-after-free, то есть к ошибкам обращения к уже освобождённой памяти. Такой класс багов часто используется для нарушения целостности процесса и потенциального выполнения кода. В контексте браузера это особенно важно: при удачной цепочке атакующий может начать с вредоносной веб-страницы, а затем попытаться выйти за пределы песочницы, если найдёт дополнительную уязвимость в операционной системе или привилегированном браузерном процессе.

Chrome также закрывает 26 high-severity проблем. SecurityWeek перечисляет среди них дополнительные use-after-free, insufficient data validation, inappropriate implementation, out-of-bounds read, incorrect security UI, heap buffer overflow и uninitialized use. Google, по данным публикации, не сообщает об эксплуатации этих конкретных уязвимостей в реальных атаках. Но для браузеров отсутствие подтверждённой эксплуатации не делает обновление второстепенным: массовая установка патчей обычно начинается одновременно с анализом diff исследователями и преступными группами.

Firefox 152 исправляет 40 проблем, включая 13 high-severity ошибок: use-after-free, privilege escalation, incorrect boundary condition, sandbox escape, JIT miscompilation и memory safety bugs. Mozilla предупреждает, что часть закрытых memory-safety flaw потенциально могла быть использована для выполнения произвольного кода. Одновременно с Firefox организация выпустила обновления для Firefox ESR, Thunderbird и Firefox for iOS, что важно для компаний, где ESR-ветка используется как стандартный корпоративный браузер.

Для пользователей вывод простой: браузер остаётся одной из самых атакуемых поверхностей, потому что он ежедневно обрабатывает недоверенный код, документы, видео, рекламу и скрипты. Организациям стоит проверить политики автообновления Chrome и Firefox, убедиться, что ESR и Thunderbird не забыты в инвентаризации, и отдельно проконтролировать системы, где обновления откладываются из-за совместимости. Для домашних пользователей лучший сценарий — перезапустить браузер после установки обновления, иначе патч может быть загружен, но не применён к текущему процессу.

Источник: SecurityWeek, 17 июня 2026