Агентство по кибербезопасности и защите инфраструктуры США (CISA) официально внесло две новые уязвимости в Google Chrome в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Этот шаг, основанный на доказательствах активного использования данных недостатков безопасности злоумышленниками в реальных атаках, служит прямым сигналом для всех организаций федерального и частного сектора о необходимости немедленного принятия мер. Обе проблемы затрагивают ядро самого популярного в мире веб-браузера и связаны с критическими компонентами - движком рендеринга Skia и механизмом выполнения JavaScript V8. Учитывая глобальное распространение Chrome как в корпоративной среде, так и среди частных пользователей, оперативное закрытие этих уязвимостей становится вопросом первостепенной важности для предотвращения масштабных инцидентов.
Детали уязвимостей
Первая из добавленных в каталог уязвимостей, получившая идентификатор CVE-2026-3910, была обнаружена в механизме V8. Согласно описанию, речь идёт о некорректной реализации в этом компоненте, который отвечает за компиляцию и исполнение кода JavaScript. Проблема позволяла удалённому злоумышленнику выполнить произвольный код внутри песочницы браузера посредством специально созданной HTML-страницы. Несмотря на то что модель безопасности Chrome построена на изоляции процессов в песочнице, успешная эксплуатация уязвимостей в её рамках - серьёзный инцидент. Это может позволить атакующему вырваться за пределы изолированной среды или, как минимум, получить контроль над вкладкой браузера, что открывает путь к хищению сессий, данных форм и установке вредоносных расширений.
Вторая уязвимость, CVE-2026-3909, была выявлена в графической библиотеке Skia, которая является основой для отрисовки всего контента в Chrome, включая текст, векторную графику и изображения. Суть проблемы заключается в выходе за границы буфера при записи (Out-of-Bounds Write). Вредоносная веб-страница могла спровоцировать подобную операцию, что привело бы к несанкционированному доступу к памяти за пределами выделенной области. Такие ошибки являются классической основой для создания стабильных эксплойтов, позволяющих перезаписывать критически важные структуры данных в памяти. В результате злоумышленник может добиться выполнения своего кода или вызвать аварийное завершение работы браузера, что в рамках целевой атаки может быть использовано для отказа в обслуживании.
Обе уязвимости были исправлены Google в одной и той же стабильной версии браузера - 146.0.7680.75. Это указывает на то, что проблемы были обнаружены и устранены в рамках одного цикла обновления безопасности. В описаниях CVE для каждой из них указана высокая степень серьёзности (High) согласно внутренней шкале Chromium. Однако ключевым фактором, побудившим CISA к действию, стало не теоретическое описание, а практические данные. Включение в каталог KEV происходит исключительно при наличии достоверных свидетельств того, что уязвимость уже эксплуатируется киберпреступниками или группами продвинутых постоянных угроз. Это означает, что эксплойты для данных CVE, скорее всего, уже встроены в инструментарий хакеров и используются для компрометации реальных систем.
С практической точки зрения для специалистов по информационной безопасности это создаёт чёткий план действий. Во-первых, необходимо в приоритетном порядке обеспечить обновление всех экземпляров Google Chrome до версии 146.0.7680.75 или новее во всей управляемой инфраструктуре. Во-вторых, учитывая, что браузер часто выступает основным рабочим инструментом и точкой входа в корпоративные облачные сервисы, его безопасность напрямую влияет на защищённость всей сети. Рекомендуется активировать функцию автоматического обновления и усилить мониторинг событий безопасности, связанных с аномальной активностью процессов chrome.exe. В частности, стоит обратить внимание на попытки создания неожиданных дочерних процессов или сетевые соединения, инициированные браузером, которые могут свидетельствовать об успешной эксплуатации.
Для конечных пользователей, не охваченных централизованным управлением, главная рекомендация остаётся неизменной: проверить и установить последние обновления через меню «Справка» → «О браузере Google Chrome». Между тем, корпоративным SOC-центрам (Security Operations Center, центр управления безопасностью) стоит рассмотреть возможность добавления сигнатур, связанных с этими CVE, в свои системы обнаружения вторжений (IDS) и предотвращения вторжений (IPS), а также настроить корреляцию событий в SIEM-системах (класс программных продуктов для управления событиями информационной безопасности и корреляции данных) для отслеживания потенциальных индикаторов компрометации.
Таким образом, история с CVE-2026-3909 и CVE-2026-3910 служит наглядным напоминанием о непрерывном цикле «уязвимость - патч - эксплуатация» в современной цифровой экосистеме. Даже в таких зрелых и активно развивающихся проектах, как Chrome, периодически обнаруживаются критические ошибки, которые становятся мишенью для злоумышленников в считанные дни после публикации исправления. Оперативное применение обновлений остаётся самым эффективным, хоть и базовым, методом защиты. В свою очередь, действия CISA по публичному флагированию активно используемых уязвимостей помогают сместить фокус с теоретического обсуждения рисков на практическое устранение конкретных и подтверждённых угроз, что в конечном итоге способствует повышению общего уровня киберустойчивости.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-3910
- https://www.cve.org/CVERecord?id=CVE-2026-3909
- https://www.cisa.gov/news-events/alerts/2026/03/13/cisa-adds-two-known-exploited-vulnerabilities-catalog
