Добавить в корзинуПозвонить
Найти в Дзене
Secure Defence - Ваша кибербезопасность
589 подписчиков

Обновление Chrome 147: анализ уязвимостей и рекомендации по защите для бизнеса

10 мин
Откладывание обновления даже на несколько дней может создавать риски для корпоративной инфраструктуры. В свежем релизе Chrome 147 компанией Google были закрыты критические уязвимости, которые уже могли использоваться злоумышленниками. Разбираем, какие компоненты браузера находились в зоне риска, как это соотносится с требованиями российских регуляторов и какие шаги помогут снизить угрозы без излишней паранойи. Многие специалисты по информационной безопасности сталкиваются с ситуацией, когда обновления браузера воспринимаются как второстепенная задача. Однако практика показывает: браузер — один из ключевых векторов атак. В одном из публичных кейсов (отрасль — критическая информационная инфраструктура) сотрудник получил фишинговое письмо со ссылкой на сайт, содержащий эксплойт под устаревшую версию Chrome. Срабатывание EDR предотвратило возможное выполнение произвольного кода (RCE). Подобные сценарии — не редкость: по имеющимся данным, каждая третья компания, игнорирующая обновления брау
Оглавление
Модель угроз в компонентах WebML, V8 и WebRTC
Модель угроз в компонентах WebML, V8 и WebRTC

Откладывание обновления даже на несколько дней может создавать риски для корпоративной инфраструктуры. В свежем релизе Chrome 147 компанией Google были закрыты критические уязвимости, которые уже могли использоваться злоумышленниками. Разбираем, какие компоненты браузера находились в зоне риска, как это соотносится с требованиями российских регуляторов и какие шаги помогут снизить угрозы без излишней паранойи.

Почему актуальность версии браузера — не техническая деталь, а вопрос безопасности

Многие специалисты по информационной безопасности сталкиваются с ситуацией, когда обновления браузера воспринимаются как второстепенная задача. Однако практика показывает: браузер — один из ключевых векторов атак. В одном из публичных кейсов (отрасль — критическая информационная инфраструктура) сотрудник получил фишинговое письмо со ссылкой на сайт, содержащий эксплойт под устаревшую версию Chrome. Срабатывание EDR предотвратило возможное выполнение произвольного кода (RCE). Подобные сценарии — не редкость: по имеющимся данным, каждая третья компания, игнорирующая обновления браузеров, может столкнуться с заражением через компоненты вроде WebRTC или движка V8.

В Chrome 147 были закрыты более десятка уязвимостей, включая две критические.

Размер вознаграждения за их обнаружение составил по 43 000 долларов каждая — что косвенно указывает на серьёзность проблем. В разъяснениях ФСТЭК (в том числе в документах апреля 2026 года) подчёркивается: организации, работающие с персональными данными, должны контролировать версии используемого программного обеспечения. Это требование коррелирует со статьёй 19 Федерального закона № 152-ФЗ.

Наблюдения за российским рынком показывают: некоторые компании продолжают использовать Chrome версий 145 или 144, руководствуясь принципом «работает — не трогай». Однако при проведении внутренних аудитов нередко выявляются следы потенциальных утечек, связанных именно с устаревшими версиями браузеров.

Анализ закрытых уязвимостей: WebML, WebRTC, V8

Компонент WebML (машинное обучение в браузере) содержал две ошибки, которые могли приводить к переполнению буфера и целочисленному переполнению. В определённых условиях это позволяет записать данные за пределы выделенной области памяти — классический сценарий для последующей загрузки шелл-кода. Подобные уязвимости могут рассматриваться как критические. Компания Google подтвердила наличие эксплойтов в дикой природе для этих CVE.

В компоненте WebRTC, отвечающем за видеозвонки и аудио, были исправлены ошибки типа use-after-free (использование памяти после её освобождения). Такие уязвимости позволяют злоумышленнику подменить данные и выполнить произвольный код. Одна из проблем в WebRTC и движке V8 (JavaScript-движок) получила статус «High» с оценкой 8.8 по шкале CVSS.

В ходе тестирования защищённости одной из финансовых организаций была воспроизведена ситуация, когда через WebRTC на устаревшей версии Chrome удавалось загрузить вредоносный скрипт. Это демонстрирует, что даже после формального обновления остаются риски, связанные с настройками корпоративной политики.

Дополнительные исправления: графика, аудио, пользовательский интерфейс

В обновлении также были устранены проблемы некорректной проверки входных данных, логические баги, позволяющие обходить политики безопасности. Например, одна из уязвимостей давала возможность подменить адресную строку (UI spoofing). Пользователь может думать, что находится на сайте банка, тогда как страница является фишинговой. Для организаций, работающих с персональными данными, это создаёт риски утечки логинов и паролей. Штрафы по 152-ФЗ за утечку персональных данных могут достигать 15 млн рублей для юридического лица, а для объектов критической информационной инфраструктуры (КИИ) предусмотрена уголовная ответственность.

Опыт показывает: многие руководители ИБ переоценивают возможности антивирусов и DLP. Браузер остаётся передовой линией — если в нём есть неисправленная уязвимость, пользователь, открывший заражённую страницу, может скомпрометировать систему даже при наличии EDR.

10 рекомендаций 2026 года по безопасной работе с Chrome

  1. Обновляйте Chrome вскоре после выхода патча. По данным открытых источников, в первые 48 часов после выхода версии 147 уже фиксировались попытки атак на предыдущие версии.
  2. Используйте групповые политики для принудительного обновления (в домене Windows — через ADMX-шаблоны). Это позволяет запретить запуск устаревших версий.
  3. Отключайте ненужные API: WebUSB, WebBluetooth, WebNFC. В большинстве бизнес-сценариев они не требуются, но могут предоставлять доступ к локальным устройствам.
  4. Регулярно проверяйте установленные расширения. В практике был случай, когда расширение для кэшбэка воровало куки. Рекомендуется использовать белый список расширений.
  5. Включайте изоляцию сайтов (Site Isolation). Эта функция защищает от атак типа Spectre, хотя и потребляет больше памяти.
  6. Мониторьте события безопасности браузера через SIEM-системы. Например, аномальная активность Chrome (скачивание исполняемых файлов с неизвестных доменов) может генерировать алерты.
  7. Проводите регулярные фишинговые симуляции через браузер. Это один из наиболее эффективных методов обучения сотрудников.
  8. Следите за требованиями ФСТЭК и Федерального закона № 187-ФЗ. С 2025 года регуляторы требуют использования сертифицированных версий или подтверждённых средств защиты. Chrome подпадает под этот контроль.
  9. Используйте Enterprise-режим с отчётами об уязвимостях (через Google Workspace или через партнёров, работающих в РФ). Это позволяет видеть версии браузеров у сотрудников.
  10. Не полагайтесь исключительно на автоматические обновления. Автообновление может не сработать из-за прокси, политик или недостатка прав. Рекомендуется ежемесячный ручной аудит версий.

Как проверить состояние Chrome после обновления (практический чек-лист)

После выхода мажорного обновления рекомендуется выполнить следующие действия:

  • Перейти на страницу chrome://version и убедиться, что сборка соответствует актуальной (например, 147.0.xxxx.xx). Если нет — принудительно запустить обновление через chrome://settings/help.
  • Проверить через Policy Viewer, какие политики активны. Некорректные групповые политики могут нивелировать исправления уязвимостей (например, ошибочное отключение Site Isolation).
  • Запустить тестовый эксплойт в изолированной среде (песочнице) с известными CVE, чтобы убедиться, что обновление эффективно.

Из реальной практики: один из клиентов (крупный ретейлер) после обновления до версии 147 забыл перезагрузить терминальные серверы. В течение трёх дней пользователи работали на старых версиях из-за того, что сессии не обновлялись. Проблема была выявлена только сканером уязвимостей. Поэтому перезагрузка после обновления — обязательный шаг.

Российское регулирование: 152-ФЗ, 187-ФЗ и актуальность браузеров

Многие компании формально подходят к требованиям регуляторов, ограничиваясь установкой антивируса. Однако в разъяснениях ФСТЭК (например, в документах, выпущенных в 2026 году) указывается: программное обеспечение, работающее с персональными данными (а браузер обрабатывает куки, логины, пароли), должно поддерживаться в актуальном состоянии.

Практические последствия: если происходит утечка данных через необновлённый браузер, штраф по 152-ФЗ может быть наложен не только «за факт утечки», но и «за нарушение требований к защите информации». Размер штрафа для должностного лица может достигать 500 тыс. рублей, для юридического — до 15 млн рублей.

Федеральный закон № 187-ФЗ о безопасности КИИ предъявляет ещё более жёсткие требования: объекты КИИ обязаны использовать сертифицированные средства защиты информации и подтверждать отсутствие уязвимостей. Сам Chrome 147 не сертифицирован в России (в связи с уходом Google), однако могут использоваться средства, создающие песочницы на основе актуальных версий Chromium (например, некоторые отечественные продукты).

По экспертным оценкам, значительная часть российских компаний находится в «серой зоне»: формально они не нарушают закон, поскольку используют российские прокси-серверы или DLP, но браузерная безопасность остаётся недостаточной. При этом исправление ситуации может быть выполнено за один день — настройкой групповых политик и информированием сотрудников.

Пошаговая инструкция для немедленных действий

Шаг 1. Проверить версию Chrome: chrome://settings/help. Если не 147.0.xxxx — нажать «Обновить».

Шаг 2. В корпоративной сети — провести инвентаризацию ПО (средствами Kaspersky, Dr.Web, MS SCCM или бесплатными решениями вроде GLPI).

Шаг 3. Скачать и установить политики из Google Chrome Enterprise Bundle (шаблоны для GPO и для Mac).

Шаг 4. Настроить принудительное фоновое обновление: параметр AutoUpdateCheckPeriodMinutes = 240 (4 часа).

Шаг 5. Провести внутренний аудит — выявить сотрудников с устаревшей версией или отключёнными обновлениями.

Шаг 6. Подготовить краткую памятку для сотрудников (с иллюстрациями) — «Как обновить Chrome за 1 минуту».

Шаг 7. Запланировать повторный аудит через две недели.

Часто задаваемые вопросы про Chrome 147 и безопасность в России

  1. Правда ли, что Chrome 147 закрывает критические уязвимости, которые уже использовались хакерами?
    Да, согласно информации от Google, две уязвимости в WebML имеют статус Critical, и наличие эксплойтов в дикой природе подтверждено.
  2. Можно ли не обновляться, если используется EDR (CrowdStrike, Trend Micro и др.)?
    Нет. EDR может блокировать известные эксплойты, но не защищает от неизвестных. Обновление браузера — базовая мера гигиены.
  3. Как быть, если в компании запрещены обновления из-за боязни поломок?
    Рекомендуется тестирование в песочнице. Типовая политика: сначала обновление на IT-отдел, через несколько дней — на всех пользователях.
  4. Какие российские аналоги Chrome существуют?
    Яндекс.Браузер (на движке Chromium) и Atom (от НКЦКИ). Они также должны своевременно обновляться; у Яндекса задержка выпуска патчей может составлять 1–2 недели.
  5. Как проверить, что обновление действительно установилось?
    Через chrome://version (первая строка) или через реестр: HKLM\Software\Google\Chrome\BLBeacon.
  6. Может ли старая версия Chrome нарушить 152-ФЗ?
    Косвенно — да. Если из-за уязвимости произойдёт утечка персональных данных, регулятор может расценить отсутствие обновления как нарушение требований к защите.
  7. Что делать, если Chrome 147 работает медленно или вылетает?
    Сбросить настройки через chrome://settings/reset или отключить подозрительные расширения. В практике встречались конфликты со старыми VPN-расширениями.
  8. А как же macOS и Linux?
    Обновления выпущены для всех платформ. На Linux — через репозитории Google, на macOS — через автоматическое обновление.
  9. Действительно ли в 2026 году ФСТЭК будет штрафовать за необновлённые браузеры?
    Официального подтверждения нет, но подготовка к возможным требованиям снижает риски.
  10. Где найти полный список CVE для Chrome 147?
    В официальном блоге Chrome Releases (доступен через зеркала) или на     cvedetails.com (фильтр по продукту Chrome).

Когда требуется комплексный аудит безопасности

Обновление браузера — важный, но не единственный элемент защиты. Риски могут сохраняться из-за устаревших версий других браузеров, уязвимостей в плагинах, слабых паролей, отсутствия двухфакторной аутентификации. Системный подход к информационной безопасности включает:

  • Аудит инфраструктуры и мобильных устройств
  • Выявление следов коммерческого шпионского ПО
  • Приведение в соответствие требованиям ФСТЭК, 152-ФЗ, 187-ФЗ
  • Внедрение EDR/XDR, DLP, защиту КИИ

Если вы хотите оценить текущий уровень защищённости и получить дорожную карту, можно запросить консультацию. Специалисты SecureDefence предоставляют чек-лист и коммерческое предложение. Первые пять заказов ежемесячно получают расширенный аудит на 12 страниц в подарок.

Вместо заключения

Опыт показывает: большинство инцидентов с утечками данных происходят не из-за сложных атак, а из-за откладывания базовых действий: «обновлю завтра», «нас это не коснётся». Chrome 147 — лишь один из многих патчей. Однако привычка своевременно обновлять браузер и отслеживать такие новости выводит компанию в число более защищённых.

⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]