Компания Google выпустила внеочередное обновление безопасности для браузера Chrome, устраняющее три опасные уязвимости, которые могли позволить злоумышленникам выполнять произвольный код на устройствах пользователей. Срочный патч подчёркивает серьёзность угроз, связанных с ключевыми компонентами современного браузера: обработкой PDF-файлов, исполнением JavaScript и воспроизведением медиаконтента. Для конечных пользователей и корпоративных администраторов это сигнал к немедленному действию, поскольку подобные изъяны традиционно становятся мишенью для сложных кибератак, включая распространение программ-вымогателей и кражу конфиденциальных данных.
Детали уязвимости
Стабильный канал обновления получил версии 145.0.7632.109/.110 для Windows и macOS, а также 144.0.7559.109 для Linux. Центральными в списке исправлений стали две уязвимости высокой степени серьёзности, затрагивающие PDFium - движок для обработки PDF-файлов внутри Chrome - и V8, высокопроизводительный движок JavaScript. Третья проблема, классифицированная как уязвимость средней степени тяжести, связана с обработкой медиаданных. Согласно политике Google, детали уязвимостей, оцениваемых как высокорисковые, остаются скрытыми от широкой публики до тех пор, пока большинство пользователей не установит обновление. Эта мера призвана ограничить возможность создания работающих эксплойтов.
Первая уязвимость, получившая идентификатор CVE-2026-2648, связана с переполнением кучи (heap buffer overflow) в компоненте PDFium. Проблема возникает в процессе синтаксического анализа PDF-документов, когда некорректные границы данных позволяют злоумышленнику удалённо перезаписывать память в куче. В теории, успешная эксплуатация этой уязвимости может привести к выполнению произвольного кода (arbitrary code execution, ACE), а в сочетании с другими техниками - даже к попытке обхода песочницы (sandbox), изолирующей процессы браузера. Источником угрозы обычно выступают специально сформированные PDF-файлы, которые пользователь может открыть как из интернета, так и получить по электронной почте.
Вторая уязвимость, CVE-2026-2649, является классическим примером целочисленного переполнения (integer overflow) в движке V8. Ошибки такого типа нарушают корректную обработку чисел в скриптах JavaScript, что может привести к повреждению структур данных в куче. Для атаки злоумышленнику достаточно заманить жертву на специально созданную веб-страницу, которая манипулирует памятью без какого-либо дополнительного взаимодействия с пользователя (так называемая атака типа «zero-click»). Учитывая, что V8 лежит в основе не только Chrome, но и множества других приложений и сервисов, его уязвимости имеют широкий потенциальный радиус воздействия.
Третья проблема, CVE-2026-2650, также связана с переполнением буфера в куче, но уже в компоненте, ответственном за воспроизведение медиаконтента. Она может быть активирована при обработке специально искажённых видеофайлов или встроенных медиаэлементов на веб-страницах. Несмотря на средний рейтинг серьёзности от Google, по шкале CVSS v3.0 её оценка составляет 8.8 балла, что указывает на высокий потенциальный ущерб для конфиденциальности, целостности и доступности системы. Для эксплуатации требуется взаимодействие с пользователем, например, запуск воспроизведения видео. Эта уязвимость была обнаружена внутренней командой Google с использованием инструментов фаззинга, таких как libFuzzer, и детектора ошибок адресации AddressSanitizer.
Важно отметить, что на текущий момент не зафиксировано случаев активной эксплуатации данных уязвимостей в дикой среде. Однако история показывает, что подобные изъяны в браузерах, особенно связанные с движками рендеринга и исполнения скриптов, крайне востребованы создателями вредоносного ПО и организаторами целевых атак. Они могут служить точкой входа для установки шпионских программ, программ-вымогателей или кражи учётных данных. Многоуровневая архитектура безопасности Chrome, включающая многопроцессную песочницу и изоляцию сайтов (site isolation), существенно усложняет жизнь злоумышленникам, но уязвимости нулевого дня постоянно проверяют эти защиты на прочность.
Для пользователей рекомендация однозначна: необходимо немедленно обновить браузер. Это можно сделать, открыв меню «Справка» и выбрав пункт «О браузере Google Chrome». После проверки наличия обновлений оно будет загружено и установлено автоматически, после чего потребуется перезапуск браузера. Корпоративным администраторам следует инициировать принудительный rollout обновлений через инструменты групповых политик (Group Policy) или системы управления мобильными устройствами (MDM). Отключение автоматических обновлений в такой ситуации является неоправданным риском, который может поставить под угрозу безопасность всей организации. Регулярное и своевременное обновление программного обеспечения остаётся одним из самых эффективных базовых методов защиты от постоянно эволюционирующих киберугроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-2648
- https://www.cve.org/CVERecord?id=CVE-2026-2649
- https://www.cve.org/CVERecord?id=CVE-2026-2650
- https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_18.html
