20 марта 2026 года команда Chrome выкатила очередной минорный релиз для LTS-ветки ChromeOS. Версия 138.0.7204.307 с платформой 16295.92.0 начала постепенно расходиться по устройствам. Без фанфар, без громких анонсов. Именно так обычно и работает патч безопасности. Но тихие обновления бывают важнее шумных.
Этот релиз закрывает две уязвимости с рейтингом High - и обе затрагивают компоненты, которые ежедневно используются миллионами устройств в школах и корпоративных сетях по всему миру. Для понимания того, почему это важно, нужно разобраться сначала в том, что такое LTS-канал ChromeOS и чем он отличается от обычного стабильного.
Что такое LTS-канал и почему он нужен корпорациям и школам
Большинство Chromebook обновляются по стабильному каналу - новая версия браузера и платформы приходит примерно раз в четыре недели. Для домашнего пользователя это удобно: всегда свежие функции, актуальные патчи. Для корпоративного IT-администратора, управляющего тысячью устройств в разных офисах, такой темп может обернуться настоящей головной болью.
Именно для подобных сценариев Google предусмотрела LTS - Long-term Support. Устройства на LTS-канале получают пакеты с обновлениями функций раз в шесть месяцев, а исправления безопасности приходят с обычной частотой - каждые две недели. По сути, организации получают консервативный и предсказуемый набор функций, который не меняется полгода, но при этом не остаются без защиты от свежих угроз.
Схема выглядит разумно. Администратор проверил, что версия 138 нормально работает с корпоративными приложениями, развернул её на всём парке устройств - и может спокойно работать до следующего планового мажорного перехода. Следующий мажорный апгрейд для LTS-ветки запланирован на 21 апреля 2026 года, когда выйдет ChromeOS LTS 144. До тех пор 138-я ветка продолжает получать только патчи безопасности.
Две уязвимости, которые попали в этот патч
Версия 138.0.7204.307 включает исправления двух уязвимостей с рейтингом High: CVE-2026-1504 в Background Fetch API и CVE-2026-3539 - проблема жизненного цикла объектов в DevTools.
На первый взгляд это технические аббревиатуры. На второй - две разные векторные угрозы, которые затрагивают совершенно разные части браузерного движка.
CVE-2026-1504 - когда фоновая загрузка превращается в дыру
Background Fetch API - удобный механизм, позволяющий сайтам загружать крупные файлы в фоне, даже если пользователь закрыл вкладку. Скачиваете обновление приложения, уходите на другую страницу - загрузка продолжается. Звучит как обычная пользовательская фича. Ровно до тех пор, пока она не сломана.
Уязвимость CVE-2026-1504 связана с некорректной реализацией в Background Fetch API: она позволяет удалённому атакующему получить данные из чужих источников через специально подготовленную HTML-страницу. Корень проблемы - в том, что реализация API не соблюдает политику одного источника (same-origin policy), что открывает канал для утечки кросс-доменных данных.
Что это означает на практике? Если пользователь посещает вредоносный сайт, тот может незаметно вытащить данные из других открытых сессий - например, из рабочей почты или корпоративного портала. Никаких видимых признаков, никаких запросов разрешений. Просто данные уходят.
Уязвимость обнаружил исследователь безопасности Луан Эррера 9 января 2026 года. Google выплатила ему вознаграждение в размере 3000 долларов. Сам Google, по устоявшейся практике, не раскрывает детали эксплойта до тех пор, пока большинство пользователей не установит обновление. Разумная мера: подробная техническая документация уязвимости в руках злоумышленника - это готовая инструкция для атаки.
CVE-2026-3539 - проблема в DevTools с неожиданным вектором
Вторая уязвимость устроена принципиально иначе. CVE-2026-3539 - уязвимость с рейтингом 8.8 по шкале CVSS, опубликованная 4 марта 2026 года. Она связана с проблемой жизненного цикла объектов в компоненте DevTools и позволяет потенциально спровоцировать повреждение памяти в куче (heap corruption).
Heap corruption - это категория уязвимостей, которую специалисты по безопасности относят к серьёзным угрозам не без причины. Когда память в куче повреждается предсказуемым образом, атакующий может получить контроль над выполнением кода. Это не просто утечка данных - потенциально это полный захват браузерного процесса.
Для эксплуатации CVE-2026-3539 атакующему нужно убедить пользователя установить специально созданное вредоносное расширение Chrome. Именно расширение выступает вектором для запуска уязвимости в DevTools. Это повышает планку для злоумышленника: просто открыть страницу недостаточно, нужен дополнительный шаг социальной инженерии. Но в корпоративной и образовательной среде, где пользователи нередко устанавливают расширения по ссылкам из мессенджеров, этот барьер не такой высокий, каким кажется.
Уязвимость CVE-2026-3539 была обнаружена Чжэнпэном (Лео) Лином из команды depthfirst.
Почему именно LTS-парк требует особого внимания
Есть определённая ирония в том, что организации, выбравшие LTS ради стабильности, оказываются в особой зоне риска при задержке с установкой патчей безопасности. Логика "мы не обновляемся, чтобы ничего не сломать" работает только тогда, когда патчи безопасности устанавливаются вовремя. Функциональные обновления LTS сдерживает намеренно - это его суть. Патчи безопасности - нет.
Для организаций, использующих LTS или LTC канал, исправления безопасности приходят каждые две недели - с той же регулярностью, что и для стабильного канала. Google выстроила систему так, чтобы консервативные развёртывания не становились синонимом уязвимых. Но это работает только при условии, что администраторы не блокируют обновления вручную и не ставят в политиках жёсткое закрепление версии.
Именно поэтому в релизе 138.0.7204.307 нет ничего экзотического, но есть конкретный повод проверить, развернулся ли он на парке устройств. Версия 138 - активная LTS-ветка для большинства корпоративных и образовательных инсталляций прямо сейчас. Всё, что попало в этот патч, закрывает реальные векторы атак, которые актуальны для хромбуков в классах и переговорных комнатах.
Кто и как получит это обновление
Обновление распространяется на большинство устройств ChromeOS, включая ChromeOS Flex. Развёртывание идёт поэтапно в течение нескольких дней. Именно так Google выкатывает минорные патчи: не одним залпом, а постепенно, чтобы поймать возможные проблемы совместимости до того, как они охватят весь парк.
Администраторы, управляющие устройствами через консоль Google Admin, могут отслеживать статус обновления на уровне организационных подразделений. Устройства, которые были выключены в момент развёртывания, получат обновление при следующем включении - это стандартное поведение системы.
Для ChromeOS Flex, работающего на старых ноутбуках, переведённых с Windows или macOS, процесс ничем не отличается. Тот же LTS-канал, тот же набор патчей, та же платформенная версия 16295.92.0.
Что стоит за регулярными патчами безопасности
Есть соблазн воспринимать такие релизы как технический шум - ещё один пункт в журнале обновлений, ещё одна строчка в отчёте для аудита. На самом деле регулярность минорных патчей безопасности - это один из немногих процессов в IT-инфраструктуре, где цена пропуска прямо пропорциональна тому, насколько долго уязвимость остаётся открытой.
CVE-2026-1504 обнаружена в январе 2026 года и закрыта в стабильном канале ещё тогда. В LTS-ветку она добралась сейчас - через несколько минорных итераций. Это нормальная механика: LTS получает отобранные backport-исправления с небольшой задержкой относительно стабильного канала. Но для устройств, которые так и не установили ни один из этих патчей, уязвимость по-прежнему открыта.
Обе проблемы этого релиза - Cross-Origin-утечка через Background Fetch и потенциальная heap corruption через DevTools - относятся к тому классу уязвимостей, которые не требуют особой квалификации от атакующего. Достаточно грамотно собранной веб-страницы или убедительного расширения. Парк из тысячи школьных хромбуков или корпоративных рабочих станций - вполне привлекательная цель, если организация откладывает патчи.
Собственно, в этом и состоит весь смысл LTS: предсказуемость функций, неизменность интерфейса - и при этом непрерывная защита. Второе работает только тогда, когда первое не становится поводом отложить обновление.