Банк данных угроз безопасности информации (BDU) подтвердил и присвоил идентификатор BDU:2026-03706 новой критической уязвимости в ядре рендеринга Blink, которое используется в браузерах Google Chrome и Microsoft Edge на базе Chromium. Уязвимость, получившая также общепринятый идентификатор CVE-2026-4462, связана с операцией чтения за пределами допустимого диапазона памяти. Эксплуатация этой ошибки может позволить злоумышленнику, действующему удаленно, нарушить конфиденциальность, целостность и доступность защищаемой информации через специально созданную HTML-страницу. Проще говоря, посещение вредоносного сайта может привести к утечке данных или полному компрометированию браузера.
Детали уязвимости
Согласно данным бюллетеня, уязвимость затрагивает широкий спектр систем. В частности, под угрозой находятся Google Chrome версий ниже 146.0.7680.153 для Windows и Linux, а также версий ниже 146.0.7680.154 для macOS. Аналогично уязвимы все версии Microsoft Edge на базе Chromium, предшествующие сборке 146.0.3856.72. Кроме того, проблема распространяется на дистрибутивы Debian GNU/Linux 11, 12 и 13, в репозиториях которых содержатся пакеты уязвимого браузера. Следовательно, пользователи этих популярных операционных систем также находятся в зоне риска.
Уровень опасности уязвимости оценен как критический по шкале CVSS 2.0 с максимальным баллом 10.0. По более современной метрике CVSS 3.1 базовый балл составляет 8.8, что соответствует высокому уровню опасности. Высокие оценки обусловлены тем, что для атаки не требуются специальные привилегии или сложные условия. Фактически, злоумышленнику достаточно заманить жертву на контролируемую веб-страницу. При этом вектор атаки классифицируется как манипулирование структурами данных, что является типичным способом эксплуатации ошибок в работе с памятью.
Важно отметить, что производители уже отреагировали на угрозу и выпустили обновления безопасности. Таким образом, основной и единственно рекомендованный способ устранения уязвимости - немедленное обновление программного обеспечения. Пользователям Google Chrome и Microsoft Edge следует убедиться, что в настройках браузера включено автоматическое обновление, или инициировать его вручную через меню «Справка» или «О браузере». Владельцам систем Debian необходимо установить актуальные пакеты из официальных репозиториев безопасности.
В условиях, когда обновление по какой-либо причине невозможно, специалисты рекомендуют следовать «Рекомендациям по безопасной настройке операционных систем LINUX», утвержденным ФСТЭК России. Однако эти меры носят ограничительный характер и не заменяют установку патча. Актуальные ссылки на официальные бюллетени безопасности всех затронутых вендоров уже опубликованы в карточке уязвимости BDU.
На текущий момент информация о наличии публичных эксплойтов, то есть готовых инструментов для эксплуатации уязвимости, уточняется. Однако история показывает, что подобные критические уязвимости в распространенном ПО быстро привлекают внимание киберпреступников. В частности, уязвимости такого класса часто используются для установки вредоносного ПО, включая программы-вымогатели (ransomware). Следовательно, промедление с обновлением может иметь серьезные последствия.
Данный инцидент в очередной раз подчеркивает критическую важность своевременного применения обновлений безопасности для всего программного обеспечения, особенно для браузеров, которые являются основным интерфейсом взаимодействия с потенциально опасным контентом в интернете. Регулярное обновление остается самым эффективным методом защиты от подобных угроз. Эксперты по кибербезопасности настоятельно советуют всем пользователям и администраторам систем проверить и обновить свои браузеры в кратчайшие сроки, чтобы нейтрализовать эту серьезную угрозу.
Ссылки
- https://bdu.fstec.ru/vul/2026-03706
- https://www.cve.org/CVERecord?id=CVE-2026-4462
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_18.html
- https://security-tracker.debian.org/tracker/CVE-2026-4462
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-4462
