Компания Google выпустила внеочередное обновление стабильной ветки браузера Chrome. Причина - сразу три критические уязвимости, которые позволяют злоумышленнику удалённо обойти механизм песочницы и получить полный контроль над системой. Две из трёх проблем затрагивают только операционную систему Windows. Специалистам по информационной безопасности и рядовым пользователям стоит как можно скорее установить версию 149.0.7827.53 или более новую.
Детали уязвимостей
Банк данных угроз безопасности информации (BDU) зарегистрировал три записи: BDU:2026-09102, BDU:2026-09132 и BDU:2026-09134. Все они относятся к браузеру Google Chrome версий ниже 149.0.7827.53 и имеют максимальный уровень опасности - базовый балл по шкале CVSS 3.1 равен 9,6 из 10. Каждая уязвимость получила собственный идентификатор CVE: CVE-2026-11002, CVE-2026-11047 и CVE-2026-11021 соответственно.
Первая уязвимость (BDU:2026-09102) связана с функцией автозаполнения Autofill. Ошибка типа "использование после освобождения" (use-after-free) возникает, когда программа продолжает обращаться к участку памяти, который уже был освобождён. Это позволяет атакующему подсунуть вредоносные данные и выполнить произвольный код. Вторая уязвимость (BDU:2026-09132) кроется в системе баз данных Google Base на операционной системе Windows. Третья (BDU:2026-09134) - в графическом процессоре, также под Windows. Обе последние ошибки относятся к категории "недостаточная проверка входных данных" (CWE-20). Злоумышленник может передать браузеру специально сформированные данные, которые не проходят должную валидацию.
Объединяет все три проблемы один вектор атаки: нарушитель действует удалённо, ему достаточно создать вредоносную HTML-страницу и заманить на неё жертву. При этом никаких дополнительных привилегий не требуется - достаточно того, что пользователь откроет страницу в уязвимой версии Chrome.
Механизм песочницы (sandbox) - один из главных защитных слоёв современных браузеров. Он изолирует процессы, запущенные для обработки веб-содержимого, от остальной системы. Даже если злоумышленнику удаётся выполнить код внутри процесса рендеринга, песочница блокирует доступ к файлам, реестру и другим критическим ресурсам. Однако все три обнаруженные уязвимости позволяют обойти эту изоляцию.
В случае с use-after-free в Autofill атакующий может манипулировать структурами данных: после освобождения памяти в неё можно записать новую полезную нагрузку, а затем заставить браузер выполнить эту нагрузку уже за пределами песочницы. Две другие уязвимости эксплуатируются путём манипулирования ресурсами - злоумышленник подсовывает браузеру некорректные данные, которые приводят к выходу за границы песочницы. Все три проблемы классифицируются как уязвимости кода, а не конфигурации. Это значит, что они заложены в самой логике работы браузера. Исправить их можно только обновлением.
Единственный надёжный способ защиты - обновить браузер до актуальной версии. Для этого достаточно перейти в меню "Справка" - "О браузере Google Chrome". Система автоматически начнёт загрузку обновления, после чего потребуется перезапустить программу. Пользователям Windows стоит проверить обновление в первую очередь. Корпоративным клиентам, использующим политики группового управления, следует оперативно развернуть новую версию с помощью встроенных средств обновления Chrome.
Пока данные о существовании готовых эксплойтов уточняются. Однако с учётом критического рейтинга и детального описания уязвимостей в открытых источниках можно ожидать, что рабочие эксплойты появятся в ближайшее время. Поэтому медлить с установкой патча не стоит.
Три критические уязвимости в Google Chrome - серьёзный сигнал для всех, кто использует этот браузер. Особенно внимательными должны быть владельцы Windows-систем. Google оперативно выпустил исправление, и теперь задача пользователей - установить его. Откладывать обновление на потом в данном случае означает подвергать себя риску полной компрометации: злоумышленник сможет не только украсть данные, но и получить доступ к системе с максимальными правами. Не пренебрегайте простыми мерами защиты - своевременное обновление программного обеспечения остаётся одним из самых эффективных способов предотвратить кибератаки.
Ссылки
- https://bdu.fstec.ru/vul/2026-09102
- https://bdu.fstec.ru/vul/2026-09132
- https://bdu.fstec.ru/vul/2026-09134
- https://www.cve.org/CVERecord?id=CVE-2026-11002
- https://www.cve.org/CVERecord?id=CVE-2026-11047
- https://www.cve.org/CVERecord?id=CVE-2026-11021
- https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop.html