В Chrome 144 и Firefox 147 закрыли 26 уязвимостей, включая критические

Компании Google и Mozilla 13 января 2026 года выпустили обновления браузеров Chrome 144 и Firefox 147. В двух браузерах закрыли в общей сложности 26 уязвимостей. Некоторые из них могут привести к выполнению произвольного кода.

Chrome 144 вышел в стабильной версии с исправлениями для 10 уязвимостей. Обновление распространяется как версия 144.0.7559.59 для Linux и 144.0.7559.59/60 для Windows и macOS. Три уязвимости имеют статус критических. Две затрагивают V8, движок JavaScript и WebAssembly. CVE-2026-0899 — это выход за границы массива при обращении к памяти. CVE-2026-0900 — проблема в реализации функционала. Третья критическая уязвимость CVE-2026-0901 находится в рендеринге Blink. Ещё в релизе были исправлены четыре уязвимости средней степени опасности и три низкой по разным компонентам: V8, Downloads, Digital Credentials, Network, Split View и ANGLE. Google выплатила $18,500 в рамках Bug Bounty за шесть уязвимостей. По оставшимся четырём суммы пока не раскрыли.

Mozilla выпустила Firefox 147 с патчами для 16 уязвимостей: семь из них критические, а четыре — это sandbox escape («побег из песочницы»). Затронуты компоненты Graphics и Messaging System. Оставшиеся три критических бага — обход защиты в DOM, use-after-free в межпроцессном взаимодействии и проблемы с безопасностью памяти, которые открывают дорогу к удалённому выполнению кода Также устранили пять уязвимостей средней опасности и три низкой в Networking, JavaScript Engine, Jav * aScript: GC, Graphics, XML и DOM. Несколько средних по критичности проблем с памятью объединили под одним CVE.

Mozilla также выпустила Firefox ESR 140.7 и Firefox ESR 115.32. Там исправили многие из тех же уязвимостей, что и в Firefox 147. Обе компании не сообщают об активной эксплуатации этих уязвимостей. Но обновиться стоит как можно быстрее.