Google Chrome и Microsoft Edge: закрыты критические уязвимости, включая уязвимость нулевого дня

В феврале 2026 года были опубликованы сведения о нескольких критических уязвимостях в популярных браузерах на движке Chromium, включая Google Chrome и Microsoft Edge. Наиболее серьезной из них является уязвимость CVE-2026-2441, которая уже эксплуатируется злоумышленниками. Данные об этих угрозах были систематизированы в Банке данных угроз (BDU) безопасности информации под идентификаторами BDU:2026-01940, BDU:2026-01943 и BDU:2026-01947.

Детали уязвимостей

Центральным событием стала уязвимость в компоненте CSS браузера Google Chrome, классифицированная как CVE-2026-2441. Эта ошибка типа «использование после освобождения» (Use-After-Free, CWE-416) позволяет удаленному злоумышленнику выполнить произвольный код на устройстве жертвы. Для эксплуатации достаточно заманить пользователя на специально созданную вредоносную HTML-страницу. Важно отметить, что по состоянию на момент публикации сведений эксплойт для этой уязвимости уже существует, что значительно повышает актуальность угрозы. Уязвимость затрагивает Google Chrome версий до 145.0.7632.75 для Windows, до 145.0.7632.76 для macOS и до 144.0.7559.75 для Linux. Кроме того, она также присутствует в Microsoft Edge версий до 145.0.3800.58.

Параллельно были устранены еще две опасные уязвимости, также имеющие высокие оценки по шкале CVSS. Первая, CVE-2026-2314 (BDU:2026-01940), связана с переполнением буфера в компоненте Codecs и может привести к отказу в обслуживании (DoS). Вторая, CVE-2026-2321 (BDU:2026-01943), является аналогичной ошибкой «использование после освобождения» в компоненте Ozone и также угрожает стабильности браузера. Обе этих уязвимости были закрыты в более раннем обновлении от 10 февраля 2026 года. Несмотря на то что их эксплуатация, согласно описанию, приводит лишь к сбою браузера, критический балл CVSS 2.0 (10.0) указывает на потенциальную возможность эскалации до выполнения кода в будущем.

Все три уязвимости получили высокие оценки опасности. По шкале CVSS 3.1 их базовый балл составляет 8.8, что соответствует высокому уровню опасности. При этом по устаревшей, но часто используемой шкале CVSS 2.0 они оцениваются в максимальные 10.0 баллов, классифицируясь как критические. Базовые векторы атаки (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) указывают на то, что для эксплуатации не требуется никаких привилегий или сложных условий, но необходимо взаимодействие пользователя, например переход по ссылке.

Производители оперативно отреагировали на обнаруженные проблемы. Компания Google выпустила два стабильных обновления: 10 февраля для устранения CVE-2026-2314 и CVE-2026-2321 и 13 февраля для закрытия активно эксплуатируемой CVE-2026-2441. Корпорация Microsoft также опубликовала патч для браузера Edge через свой Центр обновления. Эксперты единогласно рекомендуют немедленно обновить браузеры до последних версий. В частности, для Google Chrome актуальными являются сборки 145.0.7632.77 для Windows, 145.0.7632.78 для macOS и 144.0.7559.79 для Linux. Для Microsoft Edge необходимо установить версию 145.0.3800.59 или новее.

Обнаружение уязвимости нулевого дня (zero-day) CVE-2026-2441, уже используемой в реальных атаках, служит серьезным напоминанием для всех пользователей. Такие ошибки позволяют злоумышленникам, входящим в состав APT, незаметно устанавливать вредоносный код (payload) на компьютеры жертв. Впоследствии это может привести к краже конфиденциальных данных или установке программ-вымогателей (ransomware). Регулярное и своевременное обновление программного обеспечения остается самым эффективным способом защиты. Кроме того, специалистам по безопасности в SOC следует обратить внимание на соответствующие сигнатуры в системах IDS/IPS для выявления потенциальных попыток эксплуатации.

Детали уязвимостей

Ссылки