Vos prasidėjus 2026-iesiems, „Google Chrome“ vartotojus pasiekė nemaloni žinia: patvirtinta aukšto pavojingumo saugumo spraga „Chrome 143“ serijoje, kuri teoriškai gali atverti kelią atakoms, apeinančioms svarbius naršyklės saugumo „saugiklius“. Kadangi „Chrome“ kasdien naudoja daugiau nei 3 milijardai žmonių, net ir vienas rimtas pažeidžiamumas akimirksniu tampa globalia problema, o ne nišiniu IT specialistų rūpesčiu.
Šį kartą rizika ypač nemaloni dėl vienos priežasties: ataka gali prasidėti nuo to, ką vartotojai patys dažnai daro be didesnio įtarumo – įsidiegia naršyklės plėtinį, kuris atrodo teisėtas, naudingas ir „normalus“.
Kas nutiko: CVE-2026-0628 ir kodėl jis įvertintas kaip „aukštas“ pavojus
Pažeidžiamumas registruotas kaip CVE-2026-0628. Jo esmė – nepakankamas taisyklių (politikų) vykdymas „Chrome“ WebView žymoje (WebView tag). Dėl šio trūkumo užpuolikas, įtikinęs vartotoją įsidiegti kenkėjišką plėtinį, gali įterpti scenarijus (scripts) ar HTML į privilegijuotą puslapį per specialiai parengtą „Chrome“ plėtinį.
Žmogui tai skamba techniškai, bet praktinė prasmė paprasta: jei naršyklės plėtinys gauna galimybę „įsiterpti“ ten, kur neturėtų, pasekmės gali svyruoti nuo duomenų nutekėjimo iki kenkėjiško kodo vykdymo. Būtent dėl to tokie pažeidžiamumai vertinami kaip aukšto pavojingumo – nes jie griauna pagrindinę prielaidą, kad naršyklė patikimai izoliuoja jautrias sritis nuo trečiųjų šalių turinio.
Kaip realiai gali atrodyti ataka: „viskas prasideda nuo vieno plėtinio“
Vienas pavojingiausių šios istorijos aspektų yra socialinė inžinerija. Ataka gali veikti taip: vartotojui pasiūlomas „naudingas“ plėtinys – pavyzdžiui, PDF įrankis, kuponų ieškiklis, „YouTube“ patobulinimas, vertėjas ar produktyvumo priedas. Įdiegimą inicijuoja pats žmogus, todėl tokį scenarijų sunkiau atpažinti iš anksto, ypač jei plėtinys atrodo tvarkingas, turi gražų aprašymą ir net kelis teigiamus įvertinimus.
Įsidiegus kenkėjišką plėtinį, išnaudojamas politikos kontrolės trūkumas WebView logikoje – ir atsiranda galimybė „praslysti“ pro apsaugas, kurios paprastai turėtų sustabdyti įtartiną įterpimą į saugomus puslapius.
Svarbus niuansas: tai nereiškia, kad kiekvienas plėtinys yra pavojus. Tai reiškia, kad vienas neteisingas sprendimas (įdiegti netikrą plėtinį) „Chrome“ 143 pažeidžiamose versijose gali kainuoti brangiau nei įprastai, nes spraga padeda apeiti dalį apsauginių barjerų.
„Google“ sprendimas jau yra, bet yra viena problema: atnaujinimai diegiami etapais
„Google“ patvirtino, kad spraga jau ištaisyta atnaujintose „Chrome“ versijose. „Stable“ kanale darbalaukiui išleistas atnaujinimas iki:
- 143.0.7499.192 / 143.0.7499.193 (Windows ir macOS)
- 143.0.7499.192 (Linux)
Šis leidimas pradėtas platinti 2026 m. sausio 6 d. ir bus diegiamas palaipsniui per artimiausias dienas ir savaites.
Būtent čia atsiranda didžiausia rizika vartotojui: kai platinimas vyksta etapais, dalis žmonių kurį laiką lieka „tarp dviejų realybių“ – jie jau skaito apie problemą, bet jų naršyklė dar nebūtinai gavo atnaujinimą automatiškai. O kuo ilgiau delsiama, tuo didesnė tikimybė, kad pažeidžiamumas bus pradėtas aktyviai bandyti išnaudoti praktikoje.
Kaip pasitikrinti, ar jūs jau saugūs: 30 sekundžių, kurios gali sutaupyti nervų
Jeigu naudojate „Chrome“ (ypač darbo kompiuteryje), saugiausias kelias yra ne laukti, o pačiam pasitikrinti versiją.
Atidarykite „Chrome“, viršuje dešinėje spauskite meniu (trys taškai), tada eikite į Help (Pagalba) ir pasirinkite About Google Chrome (Apie „Google Chrome“). Ten naršyklė automatiškai patikrins atnaujinimus. Jeigu matote, kad versija yra 143.0.7499.192 arba 143.0.7499.193 (priklausomai nuo sistemos), reiškia, pataisa jau įdiegta. Jeigu atnaujinimas atsisiunčiamas, pabaigoje paprastai reikės perkrauti naršyklę (Restart), kad pataisa realiai pradėtų veikti.
Tai ypač aktualu tiems, kurie retai perkrauna naršyklę ir mėgsta laikyti atidarytus langus „amžinai“ – atnaujinimas gali būti jau parsiųstas, bet dar neįsigaliojęs.
Kitas, tylesnis „Chrome“ pokytis: pranešimų ribojimas prieš sukčius ir manipulaciją
Tuo pačiu laikotarpiu „Chrome“ pradeda diegti ir kitą saugumo bei patogumo krypties pakeitimą: Push API pranešimų „rate limits“ (pranešimų srauto ribojimą) svetainėms, kurios siunčia daug pranešimų, bet sulaukia menko vartotojų įsitraukimo. Idėja paprasta: jei pranešimai naudojami ne informuoti, o „spaminti“, vilioti paspaudimais ar išprovokuoti neapgalvotus veiksmus, naršyklė mažins tokios taktikos efektyvumą.
Tai svarbu ir dėl bendros saugumo logikos: pranešimai naršyklėje neretai tampa kanalu socialinei inžinerijai, kai vartotojas spaudžia „čia“, nes atrodo skubu, oficialu ar „reikia patvirtinti“. Ribojimai mažina triukšmą, o kartu – ir riziką, kad žmogus bus įtrauktas į apgaulingą scenarijų.
Kodėl ši istorija yra ne apie „Google klaidą“, o apie vartotojo įprotį
Ši spraga turi aiškų sprendimą, bet kartu ji primena nepatogią tiesą: naršyklės saugumas dažnai baigiasi ten, kur prasideda atidėliojimas. Net geriausios automatinės apsaugos nėra stebuklinga skraistė, jei atnaujinimai nepritaikomi laiku, o plėtiniai diegiami „iš įpročio“, neįvertinus, kas yra jų kūrėjas ir kokių leidimų jie prašo.
Todėl šį kartą žinutė paprasta ir labai praktiška: jei naudojate „Chrome“, patikrinkite versiją ir užbaikite atnaujinimą iki 143.0.7499.192/193. Tai viena iš tų situacijų, kai veiksmas šiandien yra objektyviai vertingesnis nei ramus pažadas „pasidarysiu vėliau“.
Šaltiniai:
- https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop.html
- https://www.forbes.com/sites/daveywinder/2026/01/08/google-chrome-143-security-bypass—3-billion-users-at-risk
