В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая ядро популярных браузеров. Уязвимость, получившая идентификаторы BDU:2026-03695 и CVE-2026-4458, связана с механизмом обработки расширений в браузерах на движке Chromium, включая Google Chrome и Microsoft Edge. Эксперты классифицировали её как критическую из-за высокого потенциала для удалённой эксплуатации.
Детали уязвимости
Суть проблемы заключается в ошибке типа "использование после освобождения" (Use-After-Free, CWE-416). Данная уязвимость кода возникает, когда программа продолжает обращаться к участку памяти после его освобождения. В контексте браузерных расширений это создаёт условия для нестабильности. Согласно описанию, удалённый злоумышленник может манипулировать определёнными структурами данных, чтобы вызвать отказ в обслуживании (DoS), что приводит к аварийному завершению работы браузера.
Под угрозой находятся пользователи нескольких крупных платформ. В частности, уязвимыми признаны Google Chrome для Windows (версии до 146.0.7680.153), для macOS (до 146.0.7680.154) и для Linux (до 146.0.7680.153). Аналогично, браузер Microsoft Edge на базе Chromium подвержен риску в версиях, предшествующих 146.0.3856.72. Кроме того, под удар попали дистрибутивы Debian GNU/Linux 11, 12 и 13, которые поставляют уязвимые пакеты браузера в своих репозиториях.
Оценка по системе CVSS подчёркивает серьёзность угрозы. Базовая оценка CVSS 2.0 достигает максимальных 10.0 баллов, что соответствует критическому уровню. Более современная метрика CVSS 3.1 присваивает уязвимости 8.8 балла, относя её к высокому уровню опасности. Разница в оценках объясняется эволюцией самой методологии, однако обе версии указывают на необходимость немедленных действий.
Производители уже отреагировали на обнаруженную проблему. Статус уязвимости подтверждён, и выпущены соответствующие обновления безопасности. Пользователям настоятельно рекомендуется как можно скорее установить патчи. Для Google Chrome актуальную информацию можно найти в официальном блоге обновлений. Владельцы Microsoft Edge должны обратиться к центру безопасности Microsoft. Пользователям Debian GNU/Linux следует следить за обновлениями пакетов через систему управления пакетами или на трекере безопасности проекта.
На текущий момент информация о наличии активных эксплойтов уточняется. Тем не менее, публикация деталей об уязвимости часто провоцирует киберпреступников на создание инструментов для атак. Следовательно, окно для безопасного обновления может быть небольшим. Угроза отказа в обслуживании, хотя и не подразумевает напрямую кражу данных, нарушает нормальную работу и может быть использована в сочетании с другими атаками.
Таким образом, ситуация требует оперативного внимания со стороны системных администраторов и рядовых пользователей. Регулярное обновление программного обеспечения остаётся краеугольным камнем кибергигиены. Данный инцидент в очередной раз демонстрирует сложность современных браузерных платформ, где даже компонент, отвечающий за функциональность расширений, может стать источником серьёзного риска для стабильности всей системы.
Ссылки
- https://bdu.fstec.ru/vul/2026-03695
- https://www.cve.org/CVERecord?id=CVE-2026-4458
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_18.html
- https://security-tracker.debian.org/tracker/CVE-2026-4458
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-4458
