Две критические уязвимости в Chrome и Edge: злоумышленники могут обойти песочницу на macOS и Windows

В конце марта и начале апреля 2026 года были выявлены две крайне опасные уязвимости в популярных браузерах Google Chrome и Microsoft Edge. Обе проблемы получили максимальные оценки опасности по шкале CVSS - стандарту для оценки критичности уязвимостей. Речь идет о баллах 9,6 из 10, что говорит о серьезной угрозе для пользователей. Уязвимости затрагивают разные операционные системы: одну нашли в библиотеке ANGLE под macOS, вторую - в компоненте WebUSB API под Windows. При этом характер ошибок различается, но результат в обоих случаях одинаков: злоумышленник может удаленно обойти механизм изоляции процессов, известный как "песочница".

Детали уязвимостей

Начнем с первой проблемы, зарегистрированной в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-08039. Ей присвоен идентификатор CVE-2026-11043. Суть уязвимости кроется в библиотеке ANGLE. Это компонент, который позволяет браузерам и другим приложениям корректно работать с графическими API на разных платформах. Внутри ANGLE обнаружилась ошибка типа "запись за границами буфера". Простыми словами, программа при обработке данных выходит за пределы отведенной области памяти. Такое поведение позволяет атакующему перезаписать соседние участки памяти, что в итоге дает ему возможность выполнить собственный вредоносный код. Однако ключевой момент здесь не просто запуск кода, а именно обход песочницы. Песочница в современных браузерах - это изолированная среда, которая не дает вредоносным процессам получить доступ к системе за пределами самого браузера. Если атакующий пробивает эту защиту, он может действовать практически без ограничений. Уязвимость эксплуатируется дистанционно, причем для атаки достаточно просто заманить жертву на специально подготовленный сайт.

Вторая проблема - BDU:2026-08041 (CVE-2026-11009) - относится к интерфейсу WebUSB API. Это технология, позволяющая веб-сайтам взаимодействовать с USB-устройствами напрямую. Например, подключить принтер или флешку через браузер. Здесь ошибка иного типа: "использование памяти после ее освобождения". Это классическая уязвимость, возникающая, когда программа обращается к участку памяти, который уже был освобожден и возвращен системе. В таком сегменте могут оказаться произвольные данные, подконтрольные атакующему. Манипулируя этими структурами, нарушитель снова может выполнить код вне песочницы. Интересно, что эта брешь существует только в версиях браузеров под Windows. Для macOS в данном случае угрозы нет.

Обе уязвимости имеют одинаковый вектор атаки по классификации CVSS 3.1: сетевой доступ, низкая сложность, не требуется привилегий, но обязательно взаимодействие пользователя (нужно кликнуть по ссылке или открыть файл). При этом воздействие на конфиденциальность, целостность и доступность оценивается как высокое. Производители уже подтвердили уязвимости и выпустили исправления. Для Google Chrome обновление доступно в версии 149.0.7827.53 и выше. Microsoft Edge обновилась до версии 149.0.4022.52. Пользователям macOS и Windows настоятельно рекомендуется установить эти обновления как можно скорее. Ссылки на официальные бюллетени безопасности прилагаются в источниках.

Теперь давайте разберемся, чем опасна каждая из этих атак в реальном сценарии. Допустим, пользователь macOS работает в Chrome. Он открывает сайт, который злоумышленник подготовил для эксплуатации CVE-2026-11043. Браузер запускает код в контексте библиотеки ANGLE. Из-за записи за границы буфера злоумышленник получает возможность переписать системные структуры в памяти процесса. Если бы песочница работала штатно, атакующий не смог бы выйти за пределы процесса рендеринга. Но уязвимость в ANGLE позволяет ему прорвать эту изоляцию. После этого он может выполнять команды уже с правами самого браузера, а затем попытаться поднять привилегии дальше - до полного контроля над системой.

Сценарий для Windows похож, но используется другой вектор: WebUSB API. Наверняка многие сталкивались с запросами от сайтов на подключение USB-устройств. Если злоумышленник обманом заставляет пользователя подключить вредоносное устройство или просто манипулирует интерфейсом через JavaScript, он может спровоцировать обращение к освобожденному участку памяти. Далее - классическая цепочка: выполнение произвольного кода, обход песочницы, компрометация системы.

На конец июня 2026 года нет данных о наличии публичных эксплойтов, эксплуатирующих эти уязвимости. Однако это не повод расслабляться. Практика показывает, что как только разработчики закрывают брешь, злоумышленники начинают активно анализировать патч и создавать рабочие инструменты атаки. Примерно через две-три недели после выхода обновления можно ожидать появление эксплойтов. Поэтому затягивать с установкой исправлений не стоит.

Какие выводы можно сделать? Во-первых, даже критически важные механизмы защиты, такие как песочница, не являются панацеей. Ошибки в низкоуровневых компонентах (ANGLE, WebUSB) могут свести на нет всю изоляцию. Во-вторых, уязвимости затрагивают обе основные операционные системы, но каждая - своим способом. Это говорит о том, что разработчикам браузеров необходимо тщательнее проверять код, взаимодействующий с аппаратными интерфейсами и графическими подсистемами. В-третьих, для специалистов по информационной безопасности это очередное напоминание о важности своевременного управления обновлениями. Рекомендуется настроить автоматическое обновление браузеров или хотя бы регулярно проверять наличие новых версий.

Напоследок отмечу, что обе проблемы уже устранены производителями. Это хорошая новость. Плохая новость в том, что подобные уязвимости будут появляться снова. Механизм песочницы постоянно совершенствуется, но и количество кода в браузерах растет. Каждая новая функция, каждый API - это потенциальная поверхность для атаки. Пользователям остается только следовать простому правилу: не игнорировать оповещения о необходимости обновления браузера. В данном случае промедление может стоить безопасности всей системы.