Критическая уязвимость в браузере Microsoft Edge позволяет удалённо выполнить код

vulnerability

Пользователям браузера Microsoft Edge стоит немедленно проверить версию установленного программного обеспечения. В середине мая 2026 года компания Microsoft подтвердила существование критической уязвимости, которая затрагивает все версии популярного веб-обозревателя вплоть до сборки 148.0.3967.70. Проблема получила идентификатор CVE-2026-45495 в международной системе учёта уязвимостей, а также была внесена в Банк данных угроз безопасности информации под номером BDU:2026-09757.

Детали уязвимости

По данным разработчиков, уязвимость кроется сразу в нескольких механизмах обработки данных браузером. Речь идёт о недостаточной проверке вводимых данных, обходе пути к каталогам и неверном управлении генерацией кода. Если говорить более простым языком, злоумышленник может заставить браузер обратиться к файлам или папкам, доступ к которым по замыслу разработчиков должен быть закрыт. Вдобавок к этому ошибка затрагивает границы буфера в памяти, что открывает путь для внедрения вредоносного кода.

Класс данной уязвимости - уязвимость кода, то есть проблема заложена непосредственно в программной логике, а не в настройках или конфигурации. Это существенно усложняет защиту без установки обновления. Специалисты оценивают уровень опасности как критический. Согласно методологии CVSS версии 3.1, базовая оценка составляет 9,8 балла из 10 возможных. По устаревшей, но всё ещё применяемой шкале CVSS 2.0 показатель достиг максимальных 10 баллов.

Вектор атаки выглядит особенно тревожным для рядовых пользователей и корпоративных клиентов. Для эксплуатации уязвимости нарушителю не требуется проходить аутентификацию. Более того, атака может быть проведена удалённо, без физического доступа к устройству. Сложность атаки оценивается как низкая, а взаимодействие с пользователем не требуется вовсе. Это означает, что злоумышленник может внедрить вредоносный код, просто заставив жертву перейти по специально созданной ссылке или открыть заражённую веб-страницу.

Каковы возможные последствия успешной атаки? Если говорить о конфиденциальности, целостности и доступности данных, то по всем трём параметрам уязвимость получает максимальную оценку "высокий". На практике нарушитель, воспользовавшись CVE-2026-45495, может полностью перехватить контроль над системой. Это предполагает не только кражу личных данных, паролей и банковской информации, но и возможность установки программ-вымогателей, шпионских модулей или даже превращения компьютера в бота для участия в распределённых атаках.

Особого внимания заслуживает способ эксплуатации. Технически атака осуществляется через инъекцию кода, манипулирование структурами данных, а также манипулирование ресурсами системы. Злоумышленник может подменить пути к файлам таким образом, чтобы браузер загрузил и выполнил вредоносный скрипт вместо легитимного ресурса. Поскольку уязвимость затрагивает не только сам браузер, но и механизмы обработки путей в операционной системе, атака может быть масштабирована на другие приложения, работающие через Edge.

На данный момент информация о наличии готового эксплойта пока уточняется. Тем не менее, сам факт того, что уязвимость подтверждена производителем и уже включена в базы угроз, говорит о высоком интересе со стороны злоумышленников. В мире кибербезопасности подобные публичные раскрытия часто становятся триггером для разработки атакующего инструментария, особенно когда речь идёт о столь высоком базовом рейтинге.

Хорошая новость заключается в том, что корпорация Microsoft уже выпустила обновление, устраняющее проблему. Разработчики рекомендуют пользователям Edge в максимально короткие сроки установить версию браузера 148.0.3967.70 или выше. Ссылка на официальный бюллетень безопасности доступна на портале Microsoft Security Response Center. Для корпоративных сред, где обновления распространяются централизованно через системы управления обновлениями, стоит проверить политики и убедиться, что патч не заблокирован.

По какой причине данная уязвимость заслуживает особого внимания кибербезопасников? Браузер Edge входит в состав операционной системы Windows и устанавливается по умолчанию на миллионы устройств по всему миру. Он активно используется не только для выхода в интернет, но и для открытия локальных документов, PDF-файлов и работы с корпоративными веб-приложениями. Таким образом, поверхность атаки чрезвычайно широка. В отличие от уязвимостей в специфическом программном обеспечении, проблема в базовом браузере затрагивает практически каждого пользователя экосистемы Microsoft.

Стоит также отметить, что уязвимость включает в себя сразу несколько типов ошибок, классифицированных по международным стандартам CWE. Это CWE-20 (недостаточная проверка вводимых данных), CWE-35 (обход пути через комбинацию символов), CWE-94 (неверное управление генерацией кода) и CWE-119 (выход операции за границы буфера в памяти). Такое сочетание редко встречается в одной находке и говорит о глубоком, системном характере проблемы.

Для обычного пользователя алгоритм действий прост. Необходимо открыть меню настроек Edge, перейти в раздел "О браузере" и дождаться автоматической проверки обновлений. Если система не обновляется самостоятельно, рекомендуется скачать установщик с официального сайта Microsoft. Промедление в данном случае может стоить безопасности не только отдельного устройства, но и всей корпоративной сети, если речь идёт о рабочей станции.

В заключение стоит подчеркнуть: хотя уязвимость уже устранена производителем, инцидент ещё раз напоминает о важности своевременного обновления программного обеспечения. Даже самые надёжные браузеры могут содержать критические изъяны, способные свести на нет усилия по защите периметра корпоративной сети. Регулярная установка патчей, особенно для программ, работающих с внешними данными, остаётся одним из наиболее эффективных и при этом минимально затратных методов обеспечения информационной безопасности.

Ссылки

Комментарии: 0