В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критическая уязвимость под идентификатором BDU:2026-03197. Данная уязвимость, получившая также идентификатор CVE-2026-3062, затрагивает компонент Tint в браузерах Google Chrome и Microsoft Edge. Согласно анализу, она связана с операциями чтения и записи за границами буфера в памяти, что классифицируется как CWE-125 и CWE-787. Проще говоря, это ошибка программирования, позволяющая обращаться к участкам памяти, не предназначенным для данного процесса.
Детали уязвимости
Уязвимость уже подтверждена производителями, Google и Microsoft, и классифицирована как критическая. Её базовая оценка по шкале CVSS 3.1 достигает 9.8 баллов из 10 возможных. Это максимально высокий уровень опасности. В частности, вектор атаки оценивается как сетевой (AV:N), не требующий специальных привилегий (PR:N) или взаимодействия с пользователем (UI:N). Следовательно, потенциальный нарушитель может эксплуатировать её удалённо, без каких-либо действий со стороны жертвы.
Основная угроза заключается в возможности полного компрометации системы. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код, получить полный контроль над целевым устройством, а также украсть или уничтожить конфиденциальные данные. Кроме того, атака может привести к отказу в обслуживании, просто "положив" браузер или всю систему с помощью специально созданной веб-страницы. Механизм атаки основан на манипулировании структурами данных в уязвимом компоненте.
Под угрозой находятся пользователи Google Chrome версий для настольных компьютеров ранее 145.0.7632.116 (Linux, Windows) и 145.0.7632.117. Аналогично, уязвим Microsoft Edge версий ранее 145.0.3800.82. Учитывая доминирующую долю рынка этих браузеров, масштаб потенциальной угрозы является глобальным. На данный момент информация о наличии эксплойта в активном использовании уточняется. Однако высокая критичность уязвимости делает её крайне привлекательной для киберпреступников и групп APT, поэтому окно для обновления крайне ограничено.
К счастью, способ устранения проблемы уже известен и реализован. Обе компании-разработчика выпустили экстренные обновления безопасности. Пользователям необходимо срочно обновить свои браузеры до последних стабильных версий. Для Google Chrome актуальная информация и ссылки для обновления опубликованы в официальном блоге. Для Microsoft Edge подробности приведены в базе данных безопасности компании. Установка этих патчей полностью устраняет уязвимость.
Важно отметить, что данная ситуация является очередным напоминанием о критической важности своевременного обновления программного обеспечения. Особенно это касается такого ключевого ПО, как веб-браузер, который является основным интерфейсом взаимодействия с потенциально опасным контентом в интернете. Системные администраторам в корпоративных средах рекомендуется немедленно развернуть обновления через свои системы управления. Кроме того, стоит усилить мониторинг сетевой активности с помощью систем IDS/IPS на предмет подозрительных попыток эксплуатации.
В заключение, уязвимость CVE-2026-3062 представляет собой серьёзную угрозу для информационной безопасности. Однако благодаря оперативной реакции вендоров и наличию исправлений, пользователи могут эффективно защитить себя. Главное - не откладывать обновление на потом. Специалистам по кибербезопасности следует внести данный CVE в свои списки наблюдения и проверить, все ли конечные точки в их сетях получили необходимые патчи. Бдительность и оперативность остаются ключевыми принципами защиты в современной цифровой среде.
Ссылки
- https://bdu.fstec.ru/vul/2026-03197
- https://www.cve.org/CVERecord?id=CVE-2026-3062
- https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_23.html
- https://issues.chromium.org/issues/483751167
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-3062
