В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость, затрагивающая популярные веб-браузеры. Уязвимость с идентификатором BDU:2026-03195 и общепринятым идентификатором CVE-2026-3061 обнаружена в компоненте Media браузера Google Chrome и связана с операцией чтения за границами буфера в памяти (CWE-125). Данная ошибка позволяет удалённому злоумышленнику спровоцировать отказ в обслуживании (DoS) на компьютере пользователя, просто заставив его посетить специально созданную вредоносную HTML-страницу. Уязвимость уже подтверждена производителями программного обеспечения и классифицируется как критическая.
Детали уязвимости
Согласно данным BDU, проблема затрагивает не только Google Chrome, но и основанный на его движке браузер Microsoft Edge. В частности, уязвимыми являются версии Google Chrome для настольных компьютеров вплоть до 145.0.7632.116 под управлением операционных систем Linux и Windows, а также версия 1145.0.7632.117 для иных платформ. Аналогично, Microsoft Edge версий до 145.0.3800.82 также подвержен данной угрозе. Оценка по методологии CVSS подчёркивает высокую степень опасности. Базовый балл CVSS 2.0 составляет 9.4, а более современная оценка CVSS 3.1 достигает 9.1, что соответствует критическому уровню. Оба вектора атаки (AV:N/AC:L/Au:N/C:C/I:N/A:C для CVSS 2.0 и AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H для CVSS 3.1) указывают на то, что для эксплуатации уязвимости не требуются специальные привилегии или действия пользователя, а потенциальный ущерб включает полную компрометацию конфиденциальности данных и высокое влияние на доступность системы.
Принцип эксплуатации уязвимости относится к манипулированию структурами данных. Ошибка чтения за границами выделенного участка памяти (out-of-bounds read) в компоненте, отвечающем за обработку медиаданных, может привести к неожиданному завершению работы процесса браузера или всей программы. Следовательно, атака направлена в первую очередь на нарушение доступности. Хотя в описании BDU прямо не указана возможность выполнения произвольного кода, критический балл CVSS, учитывающий компрометацию конфиденциальности (C:H), предполагает, что в определённых условиях данная уязвимость может потенциально использоваться для утечки чувствительной информации из памяти процесса. Однако основной и подтверждённый сценарий атаки - это удалённая атака на отказ в обслуживании.
Производители оперативно отреагировали на обнаруженную проблему. Статус уязвимости в BDU указан как «устранённая». Компания Google выпустила обновление, информацию о котором можно найти в официальном блоге Chromium. Пользователям необходимо убедиться, что их браузер обновлён до версий, вышедших после 23 февраля 2026 года. Владельцам Microsoft Edge также требуется установить последние патчи, подробности о которых опубликованы в центре реагирования на безопасность Microsoft (MSRC). Единственным эффективным способом устранения угрозы является немедленное обновление программного обеспечения до актуальных стабильных сборок.
На текущий момент информация о наличии публичных эксплойтов, использующих CVE-2026-3061, уточняется. Тем не менее, учитывая высокий рейтинг опасности и относительную простоту эксплуатации для атаки типа «отказ в обслуживании», появление таких инструментов в ближайшее время вполне вероятно. Поэтому задержка с установкой обновлений подвергает системы неоправданному риску. Особенно внимательными следует быть корпоративным пользователям и администраторам SOC, поскольку массовый сбой браузеров может парализовать рабочие процессы, зависящие от веб-приложений.
Данный инцидент в очередной раз подчёркивает важность своевременного применения исправлений безопасности даже для такого распространённого ПО, как веб-браузер. Компоненты для обработки мультимедиа, будучи сложными и высокопроизводительными, часто становятся мишенью для исследователей безопасности и злоумышленников. Регулярное обновление браузеров и использование встроенных механизмов автоматического апдейта остаются базовыми, но критически важными мерами защиты. Эксперты рекомендуют не игнорировать уведомления о доступных обновлениях и проверять текущую версию браузера в настройках, особенно после получения информации о таких критических уязвимостях.
Ссылки
- https://bdu.fstec.ru/vul/2026-03195
- https://www.cve.org/CVERecord?id=CVE-2026-3061
- https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_23.html
- https://issues.chromium.org/issues/482862710
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-3061
