Обнаружен открытый набор для разработки эксплойтов под Chrome: 23 Proof-of-Concept для уязвимости CVE-2026-4440 в WebGL

Сервер, размещённый на IP-адресе 100.48.195[.]190 в регионе AWS us-east-1, представлял собой простой HTTP-сервер на Python с открытым листингом директорий. На нём хранились 23 файла, образующие целостный инструментарий для исследования и эксплуатации уязвимостей в компоненте WebGL и его основе - библиотеке ANGLE. Центральное место в коллекции занимают Proof-of-Concept (PoC, доказательства концепции) для уязвимости CVE-2026-4440. Данная уязвимость представляет собой целочисленное переполнение в Vulkan-бэкенде ANGLE, возникающее при вызове функции "texStorage3D()" для создания трёхмерного текстура определённого размера. При указании текстуры размером 4096×4096 пикселей с 64 и более слоями в формате RGBA8, вычисление размера буфера приводит к переполнению 32-битного целого числа, в результате чего система выделяет буфер нулевого размера, но последующие операции чтения и записи обращаются к памяти за его пределами. Это открывает путь к межпроцессному раскрытию информации из GPU-процесса Chrome, что является ценным примитивом для построения цепочек эксплойтов.

Однако найденный набор не ограничивается одной уязвимостью. Он демонстрирует методологичный подход к построению многоэтапной цепочки атаки. Помимо CVE-2026-4440, в инструментарии присутствуют эксплойты для уязвимостей типа use-after-free (UAF, использование после освобождения) в механизме "PassAsSpan" для получения примитивов чтения и записи в процессе рендеринга, а также для ошибок выхода за границы буфера (OOB) в функции "convertIndexBufferGPU()" на специфичном графическом оборудовании Adreno. Особый интерес вызывает явная настройка эксплойтов под конкретные устройства, в частности, смартфоны Google Pixel 2 и Pixel 4 с графическими процессорами Adreno 540 и 640 соответственно. Наличие отдельных файлов "index_buffer_oob_pixel2.html" и "cve_2026_4440_targeted_poc.html" указывает на то, что разработчик тестировал и дорабатывал код на реальном оборудовании, а не в эмуляторах, что повышает его эффективность в реальных условиях.

Структура инструментария говорит о его исследовательском, а не боевом назначении. Файлы хорошо прокомментированы, содержат множественные варианты одного и того же триггера для разных условий и аппаратных платформ. Отсутствуют какие-либо элементы обфускации, защиты от анализа или средства доставки финальной вредоносной нагрузки. Более того, на сервере не было обнаружено компонентов для второго и третьего этапов классической цепочки - побега из песочницы браузера (sandbox escape) и повышения привилегий на уровне операционной системы. Всё это, как отмечают исследователи, обнаружившие сервер, характерно для среды активной разработки и отладки, а не для развёрнутой платформы для проведения атак. Серверная инфраструктура также была предельно простой и состояла из трёх скриптов на Python, которые не только раздавали PoC-файлы, но и собирали результаты их выполнения через POST-запросы на эндпоинт "/report", сохраняя такие данные, как идентификатор теста, строка пользовательского агента и, что критически важно, результаты утечки памяти.

Главный практический вывод для специалистов по безопасности из этого инцидента двоякий. Он служит ярким напоминанием о критической важности своевременного обновления программного обеспечения. Уязвимость CVE-2026-4440 была устранена в версиях Chrome 146.0.7680.153 и 146.0.7680.154 для Windows, macOS и Linux. Пользователи, особенно владельцы устройств на Android, должны убедиться, что используют актуальную версию браузера.

В то время как происхождение и цели оператора этого сервера остаются неизвестными - это мог быть как независимый исследователь в рамках ответственного разглашения, так и разработчик коммерческих эксплойтов - сам факт утечки такого инструментария в публичный доступ усиливает угрозу для неисправленных систем. Он снижает порог входа для менее квалифицированных злоумышленников, которые могут взять готовые PoC за основу для создания собственного вредоносного кода. Таким образом, инцидент подчёркивает динамичность современного ландшафта угроз, где даже промежуточные исследовательские артефакты могут стать значимым фактором риска, и подтверждает необходимость построения многослойной защиты, основанной не только на своевременных патчах, но и на глубоком анализе поведения и сигнатур.

IPv4

• 100.48.195.190

Domains

• ec2-100-48-195-190.compute-1.amazonaws.com

URLs

• http://100.48.195.190:80/
• http://100.48.195.190:80/report

SHA256

• 016b89b322f35fda0381db9febe63d71b44aa0ce555d0fc5eaaf79f9e0f1b64d
• 019245f443fe1b68926dad658fbf98fca6918ae33c21446209a488b4d08af713
• 021c7f6dd0655c1611bcb59f5d0894b13484bd1338f3bcee1a6a4d76c1d02e0c
• 2887693584bab11e22383825402602b35f7b5a3fa114f3c5e81d887b8cae07e2
• 2c0def09409b4ce4767935a8dcaa25e44d3b9769aca5b74ffa29026de7dc283b
• 2e05f417726c4aafb61a88dede3156e33ac62c7b944342272336323c60179e59
• 452d4f3b4f3ce2abda1825088a77383316319f9f0c3a43c55be5f34ef88b8463
• 4c6d562a68d10242d158b8a1a1a0d9dd951eccf0f48b103cbe6210e2ddafe0f1
• 586e6c9d916115aaed65215cd37e20254d17c7ae8d7fd9b3d8317e628936995f
• 692f2629a33de1f7fa973cb5c83aa8835f3ac8bb396d4b6ee0cf2cadc980868a
• 75a4de9e9bfad99d94c3d7c31a0a81f91c57261f9af7a2cee907e37a8f7f49b2
• 85bfcc2ed51c56b4e7beba47edbe257f518b0373f7437a8c6bab319fc889c951
• 8e2475d293e307b97e7fcf34845d7f6047141b8795d4d912d2bd78b988861e35
• 90567738e21b85be8365fce026a81d00109e802345bcdc0556c471efeb0d8753
• 93cb956290ea727b58be3d134872830c4f90b0f3747bd036bd05c1fdac3ef8ff
• a41ab944ec53b4655632ea79b1b6bda313f4436bcfe953178f7995916d48635a
• afe0a661a82bad8bfacd4b4fdbb0c38112b4116993a29f812d2d83bd54d7dd45
• cc8d7d58a5cc4d410ea6b680c23d8754b3029be464f74d9444ac56501dc2c21e
• d1392d08d6575bfae23b7e886724c1903c8266c46a1a113ba2608a15d095302a
• f90cd96834d8dac0183ee569e396ca0e9b56f8248a74bd00aa62a010c04bfa00
• fed824ecf9b2723df754ddc530a5fec5fc1f52259f1ff1b95e46338fda495e5e
• ff9ca959412b086ec3c8def9e9dac24208cbde70c7042e9feea03a1c92999a7a