Банк данных угроз безопасности информации (BDU) опубликовал информацию о двух новых критических уязвимостях в движке JavaScript V8, который используется в браузере Google Chrome. Эти уязвимости, получившие идентификаторы CVE-2026-0899 и CVE-2026-0900, позволяют удаленному злоумышленнику выполнить произвольный код или получить несанкционированный доступ к данным. Соответственно, специалисты присвоили им максимальный уровень опасности.
Детали уязвимостей
Первая уязвимость, CVE-2026-0899, связана с классической ошибкой выхода операции за границы буфера в памяти (CWE-119). Проще говоря, специально созданный JavaScript-код на веб-странице может заставить движок V8 записать данные за пределы выделенной области памяти. В результате это позволяет перехватить контроль над процессом браузера. Следовательно, злоумышленник может выполнить произвольный вредоносный код (malicious code) или вызвать отказ в обслуживании.
Вторая проблема, CVE-2026-0900, относится к категории неправильно реализованных проверок безопасности для стандартных элементов (CWE-358). Эта ошибка в логике проверок позволяет обойти встроенные механизмы безопасности. Таким образом, атакующий может манипулировать объектами в памяти для чтения, изменения или удаления конфиденциальной информации. Обе уязвимости были подтверждены производителем, Google Inc.
Для эксплуатации этих уязвимостей жертве достаточно посетить специально созданную HTML-страницу. При этом не требуется никаких дополнительных действий, таких как загрузка файлов или ввод учетных данных. Поэтому векторы атаки могут включать фишинговые письма, скомпрометированные рекламные сети или взломанные legitimate-сайты. Однако на текущий момент данные о наличии публичных эксплойтов (exploit) уточняются.
Под угрозой находятся пользователи Google Chrome версий до 144.0.7559.59 для Windows и Linux, а также версий до 144.0.7559.60 для macOS. Кроме того, уязвимости затрагивают дистрибутивы Debian GNU/Linux 11, 12 и 13, которые поставляют браузер в своих репозиториях. Оценки по системе CVSS подчеркивают серьезность угрозы: базовая оценка CVSS 2.0 составляет максимальные 10 баллов, а CVSS 3.1 - 8.8 баллов, что соответствует высокому уровню опасности.
К счастью, корпорация Google оперативно отреагировала и устранила обе уязвимости в стабильном обновлении Chrome 144. Следовательно, основной и единственной мерой защиты является немедленное обновление браузера до последней версии. Обновление происходит автоматически, но пользователям рекомендуется проверить его наличие, перейдя в меню "Справка" > "О браузере Google Chrome".
Владельцам систем на базе Debian необходимо установить обновления безопасности из официальных репозиториев. Обычно для этого используется команда "sudo apt update && sudo apt upgrade". После этого важно убедиться, что версия пакета "chromium" или "google-chrome-stable" была успешно обновлена. Между тем, пользователи других браузеров на базе Chromium, таких как Microsoft Edge, Opera или Яндекс.Браузер, также должны следить за выходами обновлений от своих вендоров.
Обнаружение сразу двух критических уязвимостей в ключевом компоненте самого популярного в мире браузера служит важным напоминанием. Во-первых, оно подчеркивает сложность современных программных стеков и постоянную работу исследователей безопасности. Во-вторых, инцидент демонстрирует эффективность скоординированного раскрытия уязвимостей через системы типа CVE и BDU. В конечном счете, своевременная установка обновлений остается самым простым и действенным способом защиты для рядовых пользователей и корпоративных сред.
Ссылки
- https://bdu.fstec.ru/vul/2026-00514
- https://bdu.fstec.ru/vul/2026-00460
- https://www.cve.org/CVERecord?id=CVE-2026-0899
- https://www.cve.org/CVERecord?id=CVE-2026-0900
- https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop_13.html
