Компания Google выпустила внеочередное обновление безопасности для настольной версии своего браузера Chrome, направленное на устранение двух критических уязвимостей нулевого дня. Обе проблемы, отслеживаемые как CVE-2026-3909 и CVE-2026-3910, имеют высокий уровень опасности, и, что наиболее тревожно, подтверждены факты их активного использования злоумышленниками в реальных атаках. Эксперты настоятельно рекомендуют всем пользователям немедленно обновить браузер, чтобы предотвратить потенциальное выполнение вредоносного кода и полный компрометацию системы.
Технические подробности уязвимостей
Обновление стабильного канала распространения, выпущенное 12 марта 2026 года, устраняет два серьёзных недостатка безопасности, обнаруженных внутренними командами Google двумя днями ранее. Первая уязвимость, CVE-2026-3909, представляет собой ошибку типа «запись за пределами буфера» (out-of-bounds write) в графической библиотеке Skia. Эта библиотека с открытым исходным кодом является основным графическим движком Chrome. Подобная ошибка возникает, когда программа записывает данные за пределы выделенного для неё участка оперативной памяти. Эксплуатация этой уязвимости, приводящей к повреждению памяти, позволяет атакующим вызвать аварийное завершение работы браузера или выполнить произвольный вредоносный код на устройстве жертвы.
Вторая проблема, CVE-2026-3910, классифицирована как «некорректная реализация» в движке V8. Высокопроизводительный движок V8 отвечает за исполнение кода JavaScript и WebAssembly и является одним из ключевых компонентов браузера. Наличие ошибки реализации в столь критичном компоненте часто позволяет субъектам угроз обходить песочницы безопасности, манипулировать памятью браузера и скрытно запускать несанкционированные сценарии в фоновом режиме. Google официально подтвердил, что эксплойты для обеих уязвимостей уже существуют «в дикой природе», то есть используются киберпреступниками или группами, спонсируемыми государствами, в реальных атакующих кампаниях.
Механизм эксплуатации типичен для подобных уязвимостей в браузерах: чтобы инициировать атаку, злоумышленнику достаточно заманить пользователя на специально созданный вредоносный веб-сайт. Для успешного выполнения атаки не требуется никаких дополнительных действий со стороны жертвы, что делает угрозу особенно опасной для рядовых пользователей. Чтобы предотвратить дальнейшее злоупотребление обнаруженными багами, Google намеренно ограничивает доступ к детальным техническим описаниям этих уязвимостей до тех пор, пока большинство пользовательской базы не обновится до защищённой версии. Эта стандартная практика, известная как «эмбарго на детали», призвана лишить атакующих готовых инструкций до того, как патчи получат широкое распространение.
В свете активной эксплуатации приоритетной задачей для пользователей и системных администраторов становится немедленная установка последних обновлений для защиты своих сетевых сред. Исправленные версии уже постепенно распространяются. Для устранения угроз необходимо убедиться в применении соответствующих патчей. Пользователям операционных систем Windows и macOS требуется обновиться до версии Chrome 146.0.7680.75 или 146.0.7680.76. Для пользователей Linux актуальной является версия 146.0.7680.75. Кроме того, пользователям других браузеров на базе Chromium, таких как Microsoft Edge, Brave или Vivaldi, следует незамедлительно отслеживать и устанавливать соответствующие обновления от своих вендоров, поскольку они, вероятно, унаследуют те же проблемы безопасности.
Процесс ручного обновления Google Chrome прост и интуитивно понятен. Необходимо перейти в меню браузера, выбрать раздел «Справка», а затем пункт «О браузере Google Chrome». После этого браузер автоматически проверит наличие доступных обновлений и предложит перезагрузить его для безопасной установки патча. Стоит отметить, что Google уделяет значительное внимание внутреннему тестированию безопасности, используя продвинутые фреймворки, такие как AddressSanitizer и MemorySanitizer, для выявления подобных недостатков на ранних стадиях. Однако в условиях активной эксплуатации уязвимостей нулевого дня самым эффективным методом защиты остаётся оперативное обновление программного обеспечения конечными пользователями. Промедление с установкой патча даже на несколько дней значительно увеличивает риски успешной кибератаки, что может привести к утечке конфиденциальных данных, установке программ-вымогателей или интеграции устройства в ботнет.
