Chrome 147 i Firefox 150.0.1 z krytycznymi poprawkami bezpieczeństwa

Wprowadzenie do problemu / definicja

Google i Mozilla rozpoczęły wdrażanie nowych aktualizacji bezpieczeństwa dla przeglądarek Chrome i Firefox, eliminując luki o wysokim i krytycznym znaczeniu. W obu przypadkach dominują błędy związane z bezpieczeństwem pamięci, które mogą prowadzić do uszkodzenia pamięci procesu, ujawnienia danych, awarii aplikacji, a w najgorszym scenariuszu do wykonania dowolnego kodu w kontekście przeglądarki.

W skrócie

• Chrome 147 usuwa 30 podatności bezpieczeństwa, w tym cztery krytyczne błędy typu use-after-free.
• Firefox 150.0.1 naprawia cztery luki, z których trzy dotyczą błędów bezpieczeństwa pamięci mogących potencjalnie prowadzić do wykonania obcego kodu.
• Aktualizacje objęły także wspierane wydania Firefox ESR 140.10.1 oraz 115.35.1.
• Największe ryzyko dotyczy odwiedzenia spreparowanej strony lub interakcji ze złośliwą treścią webową.

Kontekst / historia

Błędy bezpieczeństwa pamięci od lat pozostają jedną z najgroźniejszych klas podatności w nowoczesnych przeglądarkach. Wynika to z ogromnej złożoności silników renderujących, komponentów multimedialnych, warstw GPU, mechanizmów sandboxingu oraz integracji z systemem operacyjnym. Każda regresja w obsłudze obiektów, buforów lub granic pamięci może zostać przekształcona w skuteczny wektor ataku.

W najnowszej fali poprawek Google usunęło luki w Chrome 147.0.7727.137/138 dla Windows i macOS oraz 147.0.7727.137 dla Linuksa. Po stronie Mozilli wydano Firefox 150.0.1, a równolegle poprawki trafiły do kanałów Firefox ESR. To istotne zwłaszcza dla organizacji korzystających z wersji ESR, gdzie stabilność operacyjna i przewidywalność wdrożeń mają duże znaczenie.

Analiza techniczna

Najpoważniejsze luki w Chrome obejmują cztery krytyczne błędy use-after-free oznaczone jako CVE-2026-7363, CVE-2026-7361, CVE-2026-7344 i CVE-2026-7343. Dotyczą one odpowiednio komponentów Canvas, iOS, Accessibility oraz Views. Tego typu podatność pojawia się wtedy, gdy aplikacja odwołuje się do pamięci, która została już zwolniona, co może umożliwić przejęcie kontroli nad strukturami pamięci i stworzyć warunki do wykonania kodu.

Poza błędami krytycznymi Chrome 147 usuwa także liczne podatności wysokiego ryzyka, w tym kolejne przypadki use-after-free w komponentach GPU, ANGLE, Animation, Navigation, Media, WebRTC, Cast, WebView i Chromoting. Załatano również błędy typu out-of-bounds read/write, heap buffer overflow, integer overflow oraz type confusion w elementach odpowiedzialnych za renderowanie, multimedia i akcelerację grafiki. Taki profil podatności pokazuje, że główna powierzchnia ataku nadal koncentruje się wokół złożonych ścieżek przetwarzania treści pochodzących z sieci.

W przypadku Firefoksa poprawki obejmują CVE-2026-7320 oraz trzy pozycje związane z błędami bezpieczeństwa pamięci: CVE-2026-7322, CVE-2026-7323 i CVE-2026-7324. Mozilla wskazała, że część tych błędów wykazywała oznaki uszkodzenia pamięci i przy odpowiednim nakładzie pracy mogła zostać wykorzystana do wykonania dowolnego kodu. Dodatkowo CVE-2026-7320 dotyczy ujawnienia informacji wynikającego z błędnych warunków brzegowych w komponencie Audio/Video.

Warto podkreślić, że zarówno Google, jak i Mozilla nie publikują od razu pełnych szczegółów technicznych wszystkich błędów. To standardowa praktyka mająca ograniczyć ryzyko szybkiego przygotowania exploitów, zanim odpowiedni odsetek użytkowników zainstaluje poprawki.

Konsekwencje / ryzyko

Dla użytkowników indywidualnych głównym zagrożeniem jest odwiedzenie spreparowanej strony internetowej lub interakcja ze złośliwą treścią webową, która aktywuje podatny kod w silniku przeglądarki. W przypadku luk pamięciowych skutkiem może być awaria procesu, ujawnienie danych z pamięci lub zdalne wykonanie kodu.

Dla organizacji ryzyko jest większe, ponieważ przeglądarka pozostaje jednym z podstawowych punktów wejścia do środowiska użytkownika końcowego. Skuteczne wykorzystanie podatności w Chrome lub Firefox może stać się pierwszym etapem łańcucha ataku prowadzącego do kradzieży sesji, przejęcia tożsamości, instalacji malware, a następnie ruchu bocznego w sieci firmowej.

W środowiskach korporacyjnych dodatkowym problemem pozostaje opóźnienie we wdrażaniu aktualizacji. Nawet po publikacji poprawek luka pozostaje praktycznie użyteczna tak długo, jak długo znacząca część stacji roboczych działa na podatnych wersjach oprogramowania.

Rekomendacje

• Priorytetowo wdrożyć najnowsze wersje Chrome i Firefox na wszystkich zarządzanych stacjach roboczych.
• Zweryfikować wersje przeglądarek w systemach MDM, EDR oraz narzędziach do zarządzania zasobami.
• Zaktualizować kanały Firefox ESR do wersji 140.10.1 lub 115.35.1, zależnie od używanej gałęzi.
• Monitorować telemetrię EDR, logi proxy, sandboxy pocztowe i systemy NDR pod kątem prób exploitacji przeglądarek.
• Ograniczyć lokalne uprawnienia użytkowników oraz stosować izolację przeglądarki tam, gdzie jest dostępna.
• Przeanalizować polityki dotyczące rozszerzeń przeglądarkowych, aby ograniczyć skutki potencjalnej kompromitacji.
• Potwierdzić, że po aktualizacji przeglądarka została ponownie uruchomiona, ponieważ bez restartu poprawki mogą nie zostać aktywowane.

Podsumowanie

Najnowsze aktualizacje Chrome 147 i Firefox 150.0.1 usuwają szereg poważnych podatności, z wyraźną dominacją błędów bezpieczeństwa pamięci. To kolejny przykład, że przeglądarki pozostają jednym z najważniejszych i najbardziej narażonych elementów powierzchni ataku. Dla zespołów bezpieczeństwa oznacza to konieczność szybkiego wdrażania poprawek, monitorowania oznak exploitacji oraz utrzymywania ścisłej kontroli nad wersjami oprogramowania klienckiego.

Źródła

1. SecurityWeek, https://www.securityweek.com/chrome-147-firefox-150-security-updates-rolling-out/
2. Chrome Releases: Stable Channel Update for Desktop, https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_28.html
3. Mozilla Foundation Security Advisory 2026-35, https://www.mozilla.org/en-US/security/advisories/mfsa2026-35/