В Банке данных угроз безопасности информации (BDU) были зарегистрированы три критические уязвимости, затрагивающие популярные веб-браузеры Google Chrome и Microsoft Edge на базе Chromium - BDU:2026-03716, BDU:2026-03720 и BDU:2026-03740. Все три проблемы получили официальные идентификаторы CVE и были подтверждены производителями. В частности, эксперты выделили ошибки CVE-2026-4456, CVE-2026-4451 и CVE-2026-4464. Уязвимости позволяют удаленному злоумышленнику вызвать отказ в обслуживании (DoS) с помощью специально созданной HTML-страницы.
Детали уязвимостей
Первая уязвимость (CVE-2026-4456) обнаружена в компоненте Digital Credentials API. Эта проблема классифицируется как use-after-free (использование памяти после освобождения). По сути, некорректное управление памятью позволяет обращаться к уже удаленному участку, что приводит к нестабильности браузера или его полному падению. Вторая ошибка (CVE-2026-4451) связана с функцией Navigation и является результатом недостаточной проверки вводимых данных. Третья уязвимость (CVE-2026-4464) найдена в библиотеке ANGLE, ответственной за графический рендеринг, и связана с целочисленным переполнением.
Согласно системам оценки CVSS 2.0, всем трем уязвимостям присвоен критический уровень опасности с максимальным баллом 10.0. В более современной метрике CVSS 3.1 их оценка составляет 8.8, что соответствует высокому уровню опасности. Важно отметить, что для эксплуатации требуется только загрузка пользователем вредоносной веб-страницы, что упрощает атаку. На текущий момент наличие работающих эксплойтов уточняется.
Под угрозой находятся пользователи Google Chrome версий ниже 146.0.7680.153 для Windows и Linux, а также версий ниже 146.0.7680.154 для macOS. Аналогично, уязвимы версии Microsoft Edge (Chromium-based) ранее 146.0.3856.72. Кроме того, в перечне уязвимого ПО значатся дистрибутивы Debian GNU/Linux 11, 12 и 13, поскольку они включают в свои репозитории пакеты браузеров.
Производители уже отреагировали и выпустили исправления. Следовательно, основной и единственной эффективной мерой защиты является немедленное обновление программного обеспечения. Пользователям Google Chrome и Microsoft Edge необходимо убедиться, что в настройках браузера активирована функция автоматического обновления или выполнить проверку вручную через меню "Справка" или "О браузере". Администраторам систем на базе Debian следует установить актуальные пакеты безопасности из официальных репозиториев.
Специалисты по кибербезопасности напоминают, что даже уязвимости, приводящие к отказу в обслуживании, представляют серьезную угрозу. Во-первых, они нарушают нормальную работу. Во-вторых, такие сбои могут быть использованы как часть более сложной цепочки атаки для отвлечения внимания или подготовки системы к внедрению вредоносного кода. Регулярное и своевременное обновление ПО остается фундаментальным правилом цифровой гигиены.
Источники обновлений и дополнительной информации привязаны к конкретным идентификаторам CVE на сайтах производителей. Например, Google опубликовал подробности в блоге обновлений стабильного канала, а Microsoft - в своем руководстве по обновлениям безопасности. Российский БДУ (BDU) выступает в данном случае агрегатором критически важных сведений, позволяя централизованно отслеживать угрозы для широкого спектра программных продуктов.
Ссылки
- https://bdu.fstec.ru/vul/2026-03716
- https://bdu.fstec.ru/vul/2026-03720
- https://bdu.fstec.ru/vul/2026-03740
- https://www.cve.org/CVERecord?id=CVE-2026-4456
- https://www.cve.org/CVERecord?id=CVE-2026-4451
- https://www.cve.org/CVERecord?id=CVE-2026-4464
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_18.html
