Банк данных угроз безопасности информации (BDU) подтвердил информацию о критической уязвимости в популярном веб-браузере Google Chrome. Проблема, зарегистрированная под идентификатором BDU:2026-05509 и получившая международный идентификатор CVE-2026-6296, затрагивает ключевой компонент браузера - библиотеку ANGLE. Эта библиотека отвечает за трансляцию графических команд OpenGL в API DirectX, что особенно критично для производительности на платформе Windows. Согласно описанию, ошибка классифицируется как переполнение буфера в динамической памяти (CWE-122), что является классическим примером уязвимости кода.
Детали уязвимости
Главная опасность данной уязвимости заключается в её потенциальных последствиях. Успешная эксплуатация может позволить злоумышленнику, действующему удаленно, осуществить произвольное выполнение кода в контексте браузера. Более того, критичность ситуации усугубляется тем, что атака теоретически может привести к обходу одного из фундаментальных защитных механизмов Chrome - песочницы (sandbox). Этот механизм предназначен для изоляции процессов браузера от основной операционной системы, ограничивая потенциальный вред от вредоносного кода. Следовательно, обход песочницы открывает путь к более глубокому компрометированию системы.
Уровень опасности оценен как критический по обеим использованным шкалам CVSS. Базовая оценка по версии CVSS 2.0 достигает максимальных 10.0 баллов. По более современной метрике CVSS 3.1, оценка составляет 9.6 баллов. Вектор атаки по CVSS 3.1 описывается как AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H, что расшифровывается следующим образом: для атаки не требуется физический доступ или учётные записи (PR:N), сложность атаки низкая (AC:L), но необходимо некоторое взаимодействие с пользователем (UI:R). При этом область воздействия распространяется за пределы самого уязвимого компонента (S:C), а последствия включают полную компрометацию конфиденциальности, целостности и доступности системы (C:H/I:H/A:H). Уязвимость затрагивает Google Chrome для настольных систем всех версий, предшествующих 147.0.7727.101.
Важно отметить, что на момент публикации записи в BDU способ эксплуатации уточнялся, однако указан общий метод "манипулирование структурами данных". Эксперты предполагают, что для запуска атаки пользователь должен быть перенаправлен к посещению специально созданной вредоносной веб-страницы. После этого, используя ошибку в обработке графических данных в ANGLE, злоумышленник может вызвать переполнение буфера. Это переполнение, в свою очередь, позволяет записать и выполнить произвольный зловредный код (payload). Именно этот код затем может предпринять попытки вырваться из песочницы браузера для достижения устойчивости (persistence) в системе или кражи чувствительных данных.
Производитель, компания Google, уже подтвердил наличие уязвимости и оперативно выпустил патч. Статус уязвимости в BDU отмечен как "устраненная". Пользователям настоятельно рекомендуется немедленно обновить браузер Google Chrome до актуальной версии 147.0.7727.101 или более поздней. Обновление можно провести через встроенный механизм, перейдя в меню "Справка" -> "О браузере Google Chrome". После проверки и установки обновления необходимо перезапустить браузер. Эта простая процедура полностью закрывает описанную брешь в безопасности.
Данный инцидент в очередной раз подчеркивает важность своевременного обновления программного обеспечения, особенно такого критически важного, как веб-браузер. Постоянное усложнение кодовой базы современных приложений, включая браузеры, делает неизбежным периодическое появление подобных уязвимостей. Однако эффективность мер по их устранению напрямую зависит от дисциплинированности конечных пользователей и корпоративных политиков централизованного управления обновлениями. Эксплуатация подобных уязвимостей (zero-day) часто является излюбленным инструментом для групп продвинутой постоянной угрозы (APT), что делает оперативное применение исправлений ключевым элементом корпоративной кибергигиены.
Ссылки
- https://bdu.fstec.ru/vul/2026-05509
- https://www.cve.org/CVERecord?id=CVE-2026-6296
- https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html?m=1
