В Банке данных угроз безопасности информации (BDU) была зафиксирована запись о новой критической уязвимости в браузере Google Chrome, получившая идентификатор BDU:2026-06127. Речь идет об ошибке в компоненте WebMIDI (интерфейс для взаимодействия с музыкальными MIDI-устройствами через браузер), которая позволяет злоумышленнику удаленно выполнить произвольный код на компьютере жертвы. Учитывая колоссальную популярность Chrome - им пользуются миллиарды людей по всему миру, - это событие требует самого пристального внимания как со стороны обычных пользователей, так и со стороны корпоративных служб информационной безопасности.
Детали уязвимости
Суть уязвимости, которой присвоен идентификатор CVE-2026-7350, заключается в так называемом использовании памяти после освобождения. Этот тип ошибки, описываемый в классификации CWE под номером CWE-416, возникает, когда программа продолжает обращаться к участку памяти, который уже был помечен как свободный. В результате злоумышленник может подменить содержимое этой области и тем самым перехватить управление потоком выполнения кода. В случае с Chrome атака происходит удаленно, то есть жертве достаточно просто зайти на специально подготовленный веб-сайт. При этом нарушителю не требуются никакие дополнительные привилегии или пароли - ему нужен лишь переход пользователя по ссылке.
Уязвимость затрагивает все основные настольные платформы. Для операционной системы Windows критическими являются версии Chrome ниже 147.0.7727.137, для macOS - ниже 147.0.7727.138, для Linux - ниже 147.0.7727.137. Информации о том, затрагивает ли проблема мобильные версии Chrome для Android и iOS, пока нет - данные уточняются. Однако, учитывая, что настольные браузеры часто используют миллионы офисных сотрудников, масштаб угрозы сложно переоценить.
Опасность уязвимости оценивается как критическая. Согласно стандарту CVSS версии 2.0 базовая оценка составляет максимальные 10 баллов. В более современной шкале CVSS 3.1 показатель равен 9,6 - это также почти предельно высокий уровень. Вектор атаки по версии 3.1 выглядит так: AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H. Расшифровка: атака осуществляется по сети, сложность низкая, прав не требуется, взаимодействие с пользователем необходимо (он сам переходит на страницу), объем атаки меняется (например, через один сайт можно скомпрометировать всю сеть), а последствия - полный компрометация конфиденциальности, целостности и доступности системы.
Иными словами, успешная эксплуатация позволяет нарушителю получить полный контроль над компьютером жертвы. Он сможет устанавливать любые программы, просматривать и изменять файлы, перехватывать пароли и данные банковских карт, а также использовать зараженную машину для дальнейших атак внутри корпоративной сети. Учитывая, что Chrome часто является основным рабочим инструментом в офисах, злоумышленник может легко проникнуть в инфраструктуру компании, скомпрометировав всего одного сотрудника.
Теперь разберем, как именно происходит эксплуатация. Метод эксплуатации в записи BDU указан как "манипулирование структурами данных". На практике это означает, что атакующий создает веб-страницу с особым JavaScript-кодом, который вызывает в компоненте WebMIDI некорректное освобождение памяти. Поскольку WebMIDI предназначен для работы с музыкальными устройствами и включает сложные операции с буферами данных, найти в нем уязвимость такого класса - не редкость. После того как память освобождена, злоумышленник размещает в освободившейся области свою вредоносную полезную нагрузку (также называемую загрузкой или кодом эксплойта). Когда браузер повторно обращается к этому участку памяти, выполняется код атакующего.
К счастью, производитель уже устранил проблему. Компания Google выпустила обновление, которое закрывает данную уязвимость. Соответствующий выпуск называется Stable Channel Update for Desktop. Всем пользователям Chrome настоятельно рекомендуется как можно скорее обновить браузер до версий 147.0.7727.137 (для Windows и Linux) или 147.0.7727.138 (для macOS). Сделать это можно через встроенную функцию проверки обновлений: в меню браузера нужно выбрать "Справка" - "О браузере Google Chrome". Система автоматически загрузит и установит актуальную версию с исправлениями безопасности.
Однако одно лишь обновление не гарантирует полную защиту. Специалистам по информационной безопасности стоит обратить внимание на использование дополнительных методов защиты. Например, внедрение политик безопасного веб-серфинга, ограничение установки расширений, настройка браузера через групповые политики для корпоративных сетей. Кроме того, следует проверить, не был ли кто-то из сотрудников уже скомпрометирован через эту уязвимость до выхода патча. Поскольку точные данные о наличии готового эксплойта в открытом доступе пока не раскрыты (в BDU статус указан как "данные уточняются"), нельзя исключать, что киберпреступники могли разработать свой инструмент для атаки еще до выхода обновления.
Для обычных пользователей главный совет один: не игнорировать сообщения браузера о необходимости перезапустить его для установки обновлений. Часто люди откладывают это на потом, подвергая свои данные риску. В случае с данной уязвимостью промедление может стоить потери всех личных файлов или паролей.
Подводя итог, можно сказать, что уязвимость CVE-2026-7350 - это классический пример опасной ошибки в одном из самых распространенных приложений в мире. Она напоминает о том, что даже такой отлаженный продукт, как Chrome, не застрахован от серьезных дефектов безопасности. Производитель сработал оперативно, выпустив патч в течение трех недель после обнаружения проблемы. Тем не менее ответственность за установку обновления лежит на каждом пользователе. В корпоративной среде задачей администраторов становится централизованное развертывание патча и мониторинг появления новых индикаторов компрометации, связанных с этой атакой.
Если ваша организация использует Google Chrome в качестве основного браузера, настоятельно рекомендую включить автоматическое обновление всех рабочих станций и периодически проверять соответствие версий требованиям безопасности. Киберугрозы не дремлют, и каждая пропущенная заплатка может стать входными воротами для злоумышленника.
Ссылки
- https://bdu.fstec.ru/vul/2026-06127
- https://www.cve.org/CVERecord?id=CVE-2026-7350
- https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_28.html
- https://feedly.com/cve/CVE-2026-7350
- https://github.com/advisories/GHSA-7x7q-4ppx-h6rp
