Компания Google выпустила срочные обновления для своего браузера Chrome, закрывающие опасную брешь, которая получила идентификатор CVE-2026-7354. Информация об этой уязвимости уже попала в Банк данных угроз безопасности информации (BDU) под номером BDU:2026-06136. Проблема затрагивает не только непосредственно браузер, но и операционную систему Debian GNU/Linux сразу нескольких версий. Это значит, что под ударом могут оказаться миллионы пользователей как на настольных системах, так и на серверах, где применяется данный дистрибутив.
Детали уязвимости
Суть ошибки кроется в компоненте Angle. Эта библиотека отвечает за трансляцию графических интерфейсов, позволяя Chrome корректно отображать современную графику на разных операционных системах. Именно в ней обнаружен выход операции за границы буфера в памяти. Простыми словами, программа может записать данные за пределы выделенного ей участка памяти. Классификация по общей схеме ошибок программного обеспечения - CWE-119. Подобные дефекты особенно опасны, поскольку злоумышленник может использовать их для подмены кода в памяти и последующего выполнения произвольных команд на устройстве жертвы.
Уровень опасности этой уязвимости признан критическим. Согласно шкале CVSS 3.1 - это 9,6 балла из 10 возможных. Система оценки уязвимостей CVSS позволяет стандартизировать степень риска для каждой найденной бреши. Максимальные оценки по конфиденциальности, целостности и доступности означают, что успешная атака грозит полным захватом контроля над системой. При этом для эксплуатации не требуется никаких особых привилегий - достаточно лишь заставить пользователя открыть специально сформированную веб-страницу. Такой сценарий делает уязвимость крайне привлекательной для киберпреступников.
Какие версии находятся под угрозой? Если говорить о Chrome, то на Windows и Linux уязвимы все сборки, предшествующие версии 147.0.7727.137. Для macOS порог несколько иной - версии до 147.0.7727.138. Что касается Debian, то проблема затрагивает дистрибутивы 11, 12 и 13. Это широкая линейка, включающая как старые, но всё ещё поддерживаемые выпуски, так и самые свежие. Владельцам Debian стоит быть особенно внимательными: уязвимость подтверждена производителем операционной системы, и соответствующие записи уже внесены в трекер безопасности.
Производитель уже отреагировал оперативно. Google выпустила стабильный канал обновления для настольных платформ. Пользователям рекомендуется немедленно установить свежую версию, перезапустив браузер. Для Debian исправления также доступны через официальные репозитории. Администраторам стоит проверить статус пакетов chromium-browser или google-chrome-stable в своих системах и при необходимости выполнить обновление.
Последствия эксплуатации такой уязвимости могут быть разрушительными. Вредоносный код, выполняемый в контексте браузера, получает доступ ко всем локальным ресурсам: файлам, паролям, сохранённым сессиям. Кроме того, атакующий может использовать скомпрометированную машину как плацдарм для атак на внутреннюю сеть организации. Особенно остро эта угроза стоит для корпоративных пользователей, где браузер часто служит единственным окном в интернет и используется для работы с конфиденциальными данными.
Стоит отметить, что компонент Angle не является чем-то уникальным для Chrome. По сути, это прослойка, которая стандартизирует работу с графическими библиотеками Direct3D, OpenGL и Vulkan. Ошибки в таких низкоуровневых компонентах встречаются нечасто, но каждая из них представляет повышенную опасность из-за сложности обнаружения и исправления. Кроме того, Angle используется и в других продуктах, основанных на движке Chromium, например в Microsoft Edge, Opera или Brave. Пока неясно, затрагивает ли данная уязвимость эти браузеры, но разработчикам таких продуктов стоит внимательно следить за обновлениями.
В целом обнаружение этой бреши - очередное напоминание о том, что даже самое популярное и тщательно тестируемое программное обеспечение не застраховано от критических ошибок. Регулярное обновление остаётся главной и наиболее эффективной мерой защиты. Пользователям стоит включить автоматическое обновление браузера, а администраторам - настроить централизованную доставку патчей для всех рабочих станций. Только так можно минимизировать риски, связанные с подобными уязвимостями. Своевременная установка исправлений сегодня - это гарантия безопасности завтра.
Ссылки
- https://bdu.fstec.ru/vul/2026-06136
- https://www.cve.org/CVERecord?id=CVE-2026-7354
- https://security-tracker.debian.org/tracker/CVE-2026-7354
- https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_28.html
