Тихое обновление ChromeOS LTS закрывает серьезные дыры

Google выпускает ChromeOS LTS-144 144.0.7559.252: 11 исправлений безопасности, включая 8 High, в компонентах браузера и web API.

2026-05-25 GIGATAP Team #security
#ChromeOS#Chrome#Browser Security

Google разворачивает ChromeOS LTS-144 версии 144.0.7559.252, platform version 16503.84.0, для большинства устройств ChromeOS на канале Long-term Support. Это прежде всего сервисное обновление безопасности. В заметке Google перечислены одиннадцать выбранных исправлений: восемь с рейтингом High и три с рейтингом Medium.

Такой релиз легко пропустить: у него нет заметной продуктовой истории и новых функций на витрине. Но это было бы ошибкой. Исправления затрагивают компоненты, отвечающие за навигацию, рендеринг, медиа, CSS, расширения, Web Speech и WebCodecs. Несколько багов относятся к memory-safety. Для операционной системы, где браузер — центральная поверхность атаки, это не второстепенные детали.

Что исправила Google#

В обновление LTS-144 вошли исправления следующих уязвимостей:

  • High — CVE-2026-5289: Use after free in Navigation
  • High — CVE-2026-6309: Use after free in Viz
  • High — CVE-2026-4449: Use after free in Blink
  • High — CVE-2026-4674: Out of bounds read in CSS
  • High — CVE-2026-6308: Out of bounds read in Media
  • High — CVE-2026-3916: Out of bounds read in Web Speech
  • High — CVE-2026-4442: Heap buffer overflow in CSS
  • High — CVE-2026-4458: Use after free in Extensions
  • High — CVE-2026-4451: Insufficient validation of untrusted input in Navigation
  • Medium — CVE-2026-5292: Out of bounds read in WebCodecs
  • Medium — CVE-2026-5282: Out of bounds read in WebCodecs

В публикации Google не сказано, что эти баги уже эксплуатируются in the wild. Там также нет деталей по эксплуатируемости, статусу proof-of-concept или подробных технических примечаний по каждой проблеме. Это важная оговорка: разумная позиция — быстро поставить патч, но не превращать короткий advisory в историю о подтвержденной активной атаке.

При этом общий рисунок понятен. Use-after-free, heap buffer overflow и out-of-bounds read — классы ошибок, за которыми защитники особенно внимательно следят в браузерах и связанном с ними коде. Одни такие баги могут лишь ронять процесс или раскрывать данные при узких условиях. Другие, в зависимости от компонента и защитных механизмов, могут стать частью более длинной цепочки эксплуатации. По релизной заметке надежно разложить эти случаи нельзя.

Почему это важно для ChromeOS LTS#

ChromeOS Long-term Support нужен средам, где стабильность важнее постоянного движения функций. Часто это школы, управляемые парки устройств, киоски, общие устройства и организации, которые не хотят жить в темпе rapid channel. Компромисс простой: меньше изменений, но исправления безопасности все равно должны доходить до устройств.

Этот релиз хорошо показывает смысл модели. LTS — не «старая и замороженная» ветка. Это более спокойная ветка, которая продолжает получать выбранные исправления. Когда такие исправления затрагивают базовые поверхности браузера, задержка создает лишний разрыв между актуальной безопасной версией и устройствами, которые остаются на LTS.

Затронутые области достаточно широки для повседневного риска. Navigation и Blink находятся рядом с загрузкой страниц и рендерингом. Viz — часть графического и композитного стека Chromium. CSS и Media доступны через обычный web-контент. Extensions — отдельная граница доверия: у пользователей и организаций со временем часто накапливается риск от расширений. WebCodecs и Web Speech расширяют поверхность атаки вокруг современных браузерных API.

Все это не доказывает чистый путь к RCE с одной web-страницы. Но объясняет, почему тихое LTS-обновление может иметь реальный вес для безопасности.

Чего не стоит утверждать#

Заметка Chrome Releases короткая. Она дает CVE, уровни серьезности, названия компонентов и новый номер LTS-сборки. Она не подтверждает активную эксплуатацию. Она не говорит, какие устройства не входят в формулировку «most ChromeOS devices». Она не раскрывает сроки для каждой управляемой среды и состояние раскатки через admin console.

Отсюда несколько границ:

  • Не называйте это zero-day-обновлением, если Google позже не сообщит, что один из CVE эксплуатировался до патча.
  • Не считайте все перечисленные баги одинаково опасными на практике: severity — сигнал, но не полный анализ эксплуатации.
  • Не предполагайте, что неуправляемые и управляемые устройства получают обновление в один и тот же момент.
  • Не используйте «LTS» как повод отложить работу по безопасности: LTS-каналы тоже требуют операционного внимания.

Более точная и сильная формулировка такая: для ChromeOS LTS-144 вышло обновление безопасности, закрывающее несколько уязвимостей высокой серьезности в web-facing и смежных с браузером компонентах. Устройства на этом канале стоит перевести на 144.0.7559.252, когда сборка доступна.

Что проверить администраторам и пользователям#

Для обычных пользователей шаг простой: проверить версию ChromeOS и дать устройству завершить обновление. Если нужен перезапуск — перезагрузить. Обновления безопасности браузера и ОС работают только после того, как запущена исправленная сборка.

Для управляемых парков проверки конкретнее:

  • Убедитесь, что устройства на LTS-канале получают 144.0.7559.252 / platform 16503.84.0.
  • Проверьте политики обновлений, которые могут задерживать или закреплять версии ChromeOS.
  • Приоритизируйте устройства с доступом к недоверенному web-контенту, общим использованием, kiosk workflows или широкими правами расширений.
  • Проверьте инвентарь расширений, особенно там, где пользователи могут устанавливать или сохранять расширения без строгой проверки.
  • Следите за release notes Google и admin tooling на случай дополнительных пояснений по охвату раскатки.

По публичной заметке это не повод для паники. Но это maintenance release с достаточным числом high-severity проблем на браузерной поверхности, чтобы не откладывать установку.

Итог#

ChromeOS LTS-144 версии 144.0.7559.252 — обновление с фокусом на безопасность для большинства устройств ChromeOS на канале Long-term Support. Главное не само количество CVE. Важнее набор компонентов: Navigation, Blink, Viz, CSS, Media, Extensions, Web Speech и WebCodecs находятся близко к обычной браузерной активности.

Если устройство работает на ChromeOS LTS, безопасное правило простое: проверьте сборку, поставьте обновление и не относите тихие LTS-релизы к низкому приоритету только потому, что они выходят без громкой истории об эксплуатации.