Критическая уязвимость в движке CSS Chrome угрожает стабильности браузеров

В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость, затрагивающая ключевые веб-браузеры на основе Chromium. Уязвимость получила идентификаторы BDU:2026-01939 и CVE-2026-2313. По сути, она представляет собой ошибку типа «использование после освобождения» (Use-After-Free, CWE-416) в компоненте обработки CSS. Следовательно, удалённый злоумышленник может спровоцировать сбой в работе браузера, заставив пользователя посетить специально созданную вредоносную веб-страницу.

Детали уязвимости

Технически проблема возникает в момент, когда браузер некорректно обращается к области памяти после её освобождения. Данная уязвимость кода в движке рендеринга позволяет манипулировать структурами данных. В результате атака может привести к полному отказу в обслуживании, то есть к аварийному закрытию браузера. Однако, согласно текущим данным, информация о наличии активных эксплойтов или более сложных атак с помощью полезной нагрузки (payload) для установки вредоносного программного обеспечения пока уточняется.

Уровень опасности этой уязвимости оценивается как критический. Например, по шкале CVSS 2.0 она получила максимальный базовый балл 10.0. Между тем, оценка по более современной шкале CVSS 3.1 составляет 8.8, что соответствует высокому уровню. Такие высокие оценки обусловлены тем, что для эксплуатации уязвимости не требуется аутентификация или сложные условия. Более того, взаимодействие с пользователем ограничивается простым посещением скомпрометированного сайта.

Уязвимость затрагивает широкий спектр популярного программного обеспечения. В первую очередь, под удар попали все версии Google Chrome ниже 145.0.7632.45 для Linux и Windows, а также ниже 145.0.7632.46 для macOS. Кроме того, проблема распространяется и на браузер Microsoft Edge, версии которого до 145.0.3800.58 также являются уязвимыми. Таким образом, значительная часть пользовательской базы подвержена потенциальной угрозе.

К счастью, производители оперативно отреагировали на угрозу. В частности, компания Google выпустила стабильное обновление для своего браузера. Соответственно, пользователям настоятельно рекомендуется немедленно проверить наличие и установить последние версии Google Chrome. Аналогично, корпорация Microsoft выпустила патч для браузера Edge. Следовательно, текущий способ устранения уязвимости однозначен - необходимо обновить программное обеспечение. При этом статус уязвимости уже подтверждён производителями как устранённый.

Для проведения обновления пользователям следует перейти в настройки браузера, найти раздел «О браузере» (About). После этого система автоматически проверит наличие и установит последнюю доступную версию. Обычно для применения обновлений требуется перезапуск браузера. Важно отметить, что в современных условиях своевременное обновление программного обеспечения является базовой. Тем самым пользователи закрывают известные дыры в безопасности до их возможной эксплуатации.

В целом, данная ситуация ярко иллюстрирует важность централизованных систем учёта уязвимостей, таких как BDU и CVE. Благодаря оперативному присвоению идентификаторов и публикации данных, специалисты по информационной безопасности по всему миру получают своевременные сведения для защиты инфраструктуры. Кроме того, это позволяет корпоративным SOC быстро вносить данные об угрозе в свои системы мониторинга и реагирования.

Подводя итог, уязвимость CVE-2026-2313 является серьёзной, но уже закрытой угрозой. Её критичность подчёркивает, насколько важны регулярные обновления даже для такого, казалось бы, обыденного ПО, как веб-браузер. Постоянная работа над безопасностью ядра Chromium, которое используется миллионами людей, остаётся приоритетной задачей для Google и всего сообщества разработчиков. В конечном счёте, ответственность за применение исправлений лежит как на корпоративных ИТ-отделах, так и на рядовых пользователях, которые должны поддерживать свои системы в актуальном состоянии.

Детали уязвимости

Ссылки