В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в браузере Google Chrome. Эксперты присвоили ей идентификатор BDU:2026-04788 и соответствующий идентификатор CVE-2026-5290. Уязвимость, связанная с ошибкой типа «использование после освобождения» (Use-After-Free, CWE-416) в компоненте Compositing, получила максимальные оценки по шкале CVSS. Следовательно, она позволяет удаленному злоумышленнику выполнить произвольный код или вызвать полный отказ в обслуживании браузера.
Детали уязвимости
Компонент Compositing отвечает за финальный этап отрисовки веб-страницы, объединяя различные графические слои. Ошибка «использование после освобождения» возникает, когда программа продолжает использовать указатель на участок памяти уже после его очистки. Это создает нестабильное состояние, которым могут воспользоваться киберпреступники. В результате, успешная эксплуатация уязвимости дает атакующему практически полный контроль над браузером жертвы на уровне операционной системы.
Уязвимость затрагивает все основные десктопные платформы. В частности, под угрозой находятся версии Google Chrome для Windows до 146.0.7680.177, для macOS до 146.0.7680.178 и для Linux до 146.0.7680.177. Производитель, корпорация Google, уже подтвердил наличие проблемы и оперативно выпустил патчи. Таким образом, критическое обновление стало доступно 31 марта 2026 года через официальный блог анонсов релизов.
Оценка по общепринятой шкале CVSS подчеркивает исключительную опасность данной уязвимости. Базовая оценка CVSS 2.0 достигает максимального значения 10.0. Более современная метрика CVSS 3.1 также указывает на критический уровень с оценкой 9.6. Согласно вектору CVSS 3.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H), для атаки не требуется специальных привилегий или сложных условий. При этом атакующему достаточно убедить пользователя посетить специально созданную вредоносную веб-страницу.
Потенциальные последствия эксплуатации крайне серьезны. Злоумышленник может установить на устройство жертвы вредоносное программное обеспечение, например, программу-вымогатель (ransomware). Кроме того, возможен несанкционированный доступ к конфиденциальным данным, включая пароли, историю посещений и банковские реквизиты. Также атака может быть использована для обеспечения постоянного присутствия (persistence) в системе или распространения вредоносной нагрузки (payload) по корпоративной сети.
На текущий момент общедоступные эксплойты для CVE-2026-5290 не обнаружены. Однако высокая критичность уязвимости делает ее крайне привлекательной мишенью для исследователей и киберпреступных групп, включая APT. Обычно подобные ошибки в ядре браузера быстро привлекают внимание и могут быть использованы в целенаправленных атаках. Специалисты по безопасности настоятельно рекомендуют не дожидаться появления активных эксплойтов.
Единственным надежным способом устранения угрозы является немедленное обновление браузера. Пользователям необходимо убедиться, что на их устройствах установлена актуальная версия Google Chrome. Для этого следует перейти в меню «Справка» → «О браузере Google Chrome». После этого браузер автоматически проверит наличие обновлений и установит последнюю стабильную сборку, в которой уязвимость уже устранена. В корпоративных средах эту задачу должны решать администраторы с помощью систем централизованного управления.
Данный инцидент лишний раз демонстрирует важность своевременного применения обновлений безопасности. Современные браузеры, будучи сложным программным обеспечением, регулярно становятся целью для атак. Поэтому процесс управления уязвимостями должен быть непрерывным. Особую бдительность следует проявлять ИТ-специалистам, отвечающим за безопасность в компаниях, где Chrome используется как корпоративный стандарт.
В заключение, уязвимость BDU:2026-04788 (CVE-2026-5290) представляет собой серьезную угрозу. Несмотря на оперативный ответ разработчика, риски сохраняются до момента установки патча на каждое конечное устройство. Регулярное обновление программного обеспечения остается базовым, но критически важным элементом кибергигиены для всех пользователей и организаций.
Ссылки
- https://bdu.fstec.ru/vul/2026-04788
- https://www.cve.org/CVERecord?id=CVE-2026-5290
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html
