В начале апреля 2026 года специалисты по кибербезопасности зафиксировали крайне опасную уязвимость, затрагивающую миллионы пользователей по всему миру. Проблема получила идентификатор BDU:2026-08417 (CVE-2026-5288) и относится к компоненту WebView (встроенному механизму отображения веб-страниц внутри приложений) браузера Google Chrome. Её эксплуатация позволяет злоумышленнику, действующему удалённо, выполнить произвольный код на устройстве жертвы.
Детали уязвимости
Суть уязвимости кроется в ошибке типа "использование после освобождения" (CWE-416). Говоря простым языком, программа продолжает обращаться к участку памяти, который уже был освобождён и возвращён системе. В этот момент в освобождённой области может оказаться совсем другой набор данных. Если атакующий сумеет подложить туда вредоносный код, браузер этот код выполнит. Таким образом нарушитель получает полный контроль над приложением.
По классификации CVSS версии 3.1 уязвимость получила 9,6 балла из 10 возможных. Это критический уровень опасности. Для сравнения: оценка 10,0 по устаревшей версии CVSS 2.0 также подтверждает максимальную серьёзность проблемы.
Под ударением находятся все версии браузера Google Chrome до сборки 146.0.7680.178 включительно. Речь идёт о версии для операционной системы Android. Кроме того, уязвимость подтверждена для дистрибутивов Debian GNU/Linux версий 11, 12 и 13. Компания Google Inc. уже выпустила исправление, и статус уязвимости - "подтверждена производителем" и "устранена".
Однако на этом история не заканчивается. Так как Chrome активно используется в качестве встроенного компонента для отображения контента в тысячах мобильных приложений, реальная площадь поражения гораздо шире. Любое приложение на Android, которое использует WebView для показа рекламы, новостей или страниц входа, потенциально уязвимо.
Как происходит атака? Нарушителю достаточно заставить пользователя перейти по специально созданной ссылке или открыть вредоносный сайт. Затем срабатывает манипулирование структурами данных в памяти. После успешной эксплуатации злоумышленник может не только украсть логины и пароли, но и установить на устройство дополнительные вредоносные программы. Более того, атакующий способен подделать содержимое веб-страниц, которые видит жертва.
Важно отметить, что на данный момент данные о существовании готового эксплойта уточняются. Но, как показывает практика, после публикации официального уведомления об уязвимости злоумышленники быстро разрабатывают атаки. Поэтому медлить с защитой нельзя.
Какие риски несёт эта уязвимость? В первую очередь - полную компрометацию данных. Поскольку оценка CVSS указывает на максимальное воздействие на конфиденциальность, целостность и доступность информации, можно утверждать: успешная атака ставит под угрозу все данные на устройстве. Это касается как личных фотографий и переписки, так и банковских приложений и корпоративных сервисов.
Особую тревогу вызывает тот факт, что уязвимость затрагивает не только сам Chrome, но и операционную систему Debian GNU/Linux. Для пользователей этих дистрибутивов риск несколько иной. Chromium - основа, на которой построен Chrome, - часто входит в состав репозиториев Debian. Следовательно, владельцы серверов и рабочих станций на Debian также должны проверить актуальность установленных версий.
Что нужно сделать прямо сейчас? Для пользователей Android достаточно обновить браузер Chrome до версии 146.0.7680.178 или новее через официальный магазин приложений Google Play. Также рекомендуется проверить, не используют ли установленные приложения системный WebView, и при необходимости перезагрузить устройство после обновления. Для владельцев Debian GNU/Linux следует перейти по ссылке на страницу отслеживания безопасности и установить соответствующие патчи из официальных репозиториев.
Разработчики из всего сообщества свободного программного обеспечения уже подтвердили уязвимость для всех трёх поддерживаемых веток Debian. Важно понимать: установка обновлений - это не рекомендация, а обязательное действие. Любая задержка увеличивает окно опасности.
В целом данная ситуация напоминает о том, что даже многомиллиардные корпорации не застрахованы от фундаментальных ошибок в управлении памятью. Подобные уязвимости - классика жанра для низкоуровневых языков программирования. Однако именно в браузерах они имеют наибольший радиус поражения.
Подводя итог, можно сказать: угроза реальна и критична. Google уже выпустил патч, ссылка на который опубликована в официальном блоге. Пользователям не стоит ждать какого-либо дополнительного уведомления. Чем быстрее будет установлено обновление, тем меньше шансов у злоумышленников воспользоваться этим опасным дефектом.
Ссылки
- https://bdu.fstec.ru/vul/2026-08417
- https://www.cve.org/CVERecord?id=CVE-2026-5288
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html
- https://github.com/advisories/GHSA-hq32-m6cw-6r68
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-5288
- https://security-tracker.debian.org/tracker/CVE-2026-5288
