Google разворачивает ChromeOS LTS-144 версии 144.0.7559.252, platform version 16503.84.0, для большинства устройств ChromeOS на канале Long-term Support. Это прежде всего сервисное обновление безопасности. В заметке Google перечислены одиннадцать выбранных исправлений: восемь с рейтингом High и три с рейтингом Medium.
Такой релиз легко пропустить: у него нет заметной продуктовой истории и новых функций на витрине. Но это было бы ошибкой. Исправления затрагивают компоненты, отвечающие за навигацию, рендеринг, медиа, CSS, расширения, Web Speech и WebCodecs. Несколько багов относятся к memory-safety. Для операционной системы, где браузер — центральная поверхность атаки, это не второстепенные детали.
Что исправила Google#
В обновление LTS-144 вошли исправления следующих уязвимостей:
- High — CVE-2026-5289: Use after free in Navigation
- High — CVE-2026-6309: Use after free in Viz
- High — CVE-2026-4449: Use after free in Blink
- High — CVE-2026-4674: Out of bounds read in CSS
- High — CVE-2026-6308: Out of bounds read in Media
- High — CVE-2026-3916: Out of bounds read in Web Speech
- High — CVE-2026-4442: Heap buffer overflow in CSS
- High — CVE-2026-4458: Use after free in Extensions
- High — CVE-2026-4451: Insufficient validation of untrusted input in Navigation
- Medium — CVE-2026-5292: Out of bounds read in WebCodecs
- Medium — CVE-2026-5282: Out of bounds read in WebCodecs
В публикации Google не сказано, что эти баги уже эксплуатируются in the wild. Там также нет деталей по эксплуатируемости, статусу proof-of-concept или подробных технических примечаний по каждой проблеме. Это важная оговорка: разумная позиция — быстро поставить патч, но не превращать короткий advisory в историю о подтвержденной активной атаке.
При этом общий рисунок понятен. Use-after-free, heap buffer overflow и out-of-bounds read — классы ошибок, за которыми защитники особенно внимательно следят в браузерах и связанном с ними коде. Одни такие баги могут лишь ронять процесс или раскрывать данные при узких условиях. Другие, в зависимости от компонента и защитных механизмов, могут стать частью более длинной цепочки эксплуатации. По релизной заметке надежно разложить эти случаи нельзя.
Почему это важно для ChromeOS LTS#
ChromeOS Long-term Support нужен средам, где стабильность важнее постоянного движения функций. Часто это школы, управляемые парки устройств, киоски, общие устройства и организации, которые не хотят жить в темпе rapid channel. Компромисс простой: меньше изменений, но исправления безопасности все равно должны доходить до устройств.
Этот релиз хорошо показывает смысл модели. LTS — не «старая и замороженная» ветка. Это более спокойная ветка, которая продолжает получать выбранные исправления. Когда такие исправления затрагивают базовые поверхности браузера, задержка создает лишний разрыв между актуальной безопасной версией и устройствами, которые остаются на LTS.
Затронутые области достаточно широки для повседневного риска. Navigation и Blink находятся рядом с загрузкой страниц и рендерингом. Viz — часть графического и композитного стека Chromium. CSS и Media доступны через обычный web-контент. Extensions — отдельная граница доверия: у пользователей и организаций со временем часто накапливается риск от расширений. WebCodecs и Web Speech расширяют поверхность атаки вокруг современных браузерных API.
Все это не доказывает чистый путь к RCE с одной web-страницы. Но объясняет, почему тихое LTS-обновление может иметь реальный вес для безопасности.
Чего не стоит утверждать#
Заметка Chrome Releases короткая. Она дает CVE, уровни серьезности, названия компонентов и новый номер LTS-сборки. Она не подтверждает активную эксплуатацию. Она не говорит, какие устройства не входят в формулировку «most ChromeOS devices». Она не раскрывает сроки для каждой управляемой среды и состояние раскатки через admin console.
Отсюда несколько границ:
- Не называйте это zero-day-обновлением, если Google позже не сообщит, что один из CVE эксплуатировался до патча.
- Не считайте все перечисленные баги одинаково опасными на практике: severity — сигнал, но не полный анализ эксплуатации.
- Не предполагайте, что неуправляемые и управляемые устройства получают обновление в один и тот же момент.
- Не используйте «LTS» как повод отложить работу по безопасности: LTS-каналы тоже требуют операционного внимания.
Более точная и сильная формулировка такая: для ChromeOS LTS-144 вышло обновление безопасности, закрывающее несколько уязвимостей высокой серьезности в web-facing и смежных с браузером компонентах. Устройства на этом канале стоит перевести на 144.0.7559.252, когда сборка доступна.
Что проверить администраторам и пользователям#
Для обычных пользователей шаг простой: проверить версию ChromeOS и дать устройству завершить обновление. Если нужен перезапуск — перезагрузить. Обновления безопасности браузера и ОС работают только после того, как запущена исправленная сборка.
Для управляемых парков проверки конкретнее:
- Убедитесь, что устройства на LTS-канале получают 144.0.7559.252 / platform 16503.84.0.
- Проверьте политики обновлений, которые могут задерживать или закреплять версии ChromeOS.
- Приоритизируйте устройства с доступом к недоверенному web-контенту, общим использованием, kiosk workflows или широкими правами расширений.
- Проверьте инвентарь расширений, особенно там, где пользователи могут устанавливать или сохранять расширения без строгой проверки.
- Следите за release notes Google и admin tooling на случай дополнительных пояснений по охвату раскатки.
По публичной заметке это не повод для паники. Но это maintenance release с достаточным числом high-severity проблем на браузерной поверхности, чтобы не откладывать установку.
Итог#
ChromeOS LTS-144 версии 144.0.7559.252 — обновление с фокусом на безопасность для большинства устройств ChromeOS на канале Long-term Support. Главное не само количество CVE. Важнее набор компонентов: Navigation, Blink, Viz, CSS, Media, Extensions, Web Speech и WebCodecs находятся близко к обычной браузерной активности.
Если устройство работает на ChromeOS LTS, безопасное правило простое: проверьте сборку, поставьте обновление и не относите тихие LTS-релизы к низкому приоритету только потому, что они выходят без громкой истории об эксплуатации.