В конце апреля 2026 года команда безопасности Google выпустила внеочередное обновление для браузера Chrome. Причина - обнаружение критической уязвимости, затрагивающей все основные платформы. Речь идёт о проблеме, способной позволить злоумышленнику выйти за пределы изолированной среды браузера и получить контроль над системными ресурсами. В чём суть угрозы и почему она требует немедленного внимания?
Детали уязвимости
Уязвимость получила идентификатор CVE-2026-7359 и была зафиксирована в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-06130. Проблема кроется в библиотеке ANGLE - компоненте Chrome, отвечающем за преобразование графических вызовов между различными API. По сути, ANGLE обеспечивает совместимость современных графических интерфейсов на разных операционных системах. Именно в коде этой библиотеки обнаружена ошибка класса CWE-416, известная как "использование после освобождения".
Что это значит? Программа выделяет участок памяти для хранения данных, затем помечает его как свободный, но продолжает обращаться к этой области. В нормальных условиях такое поведение приводит к непредсказуемым сбоям. Однако для атакующего это открывает возможность подменить данные в освобождённой памяти на вредоносный код. В случае с Chrome подобная ошибка позволяет нарушителю, действующему удалённо, преодолеть механизмы изоляции - так называемую "песочницу" браузера.
Опасность ситуации усугубляется тем, что для эксплуатации уязвимости не требуются сложные предварительные условия. Достаточно заставить пользователя открыть специально подготовленную веб-страницу или перейти по ссылке. Вектор атаки - сетевой, то есть злоумышленник может действовать из любой точки мира. При этом для успешной атаки не нужна аутентификация, а вмешательство пользователя сводится к одному клику.
Согласно метрике CVSS 3.1, уровень опасности этой уязвимости оценивается в 9,6 балла из десяти возможных. Это критическая оценка, означающая максимальную угрозу конфиденциальности, целостности и доступности данных. Производитель - компания Google - уже подтвердил наличие проблемы и выпустил исправление.
Уязвимыми оказались все версии Chrome до 147.0.7727.137 для операционных систем Windows и Linux, а также до версии 147.0.7727.138 для macOS. Таким образом, под удар попала подавляющая часть пользователей веб-обозревателя. Дата выявления проблемы - 25 марта 2026 года, однако лишь к концу апреля разработчики смогли подготовить стабильное обновление.
Примечательно, что в описании уязвимости указано, что способ эксплуатации связан с манипулированием структурами данных. Это означает, что атакующий может не просто вызвать ошибку, а целенаправленно управлять состоянием памяти браузера для выполнения произвольного кода. Хотя данные о наличии готового эксплойта пока уточняются, в случае подобных критических ошибок разработка рабочей атаки - лишь вопрос времени.
Для специалистов по информационной безопасности эта новость - лишнее напоминание о том, насколько хрупка граница между браузером и операционной системой. Современные веб-обозреватели содержат миллионы строк кода, и каждая новая функция потенциально открывает лазейку. Библиотека ANGLE, хоть и является узкоспециализированным компонентом, напрямую взаимодействует с графической подсистемой ОС. Именно это взаимодействие и стало слабым звеном. Если злоумышленник использует эту уязвимость, он сможет получить доступ к системным ресурсам за пределами браузера. Это значит, что атакующий может прочитать файлы на диске, перехватить нажатия клавиш, украсть пароли или сертификаты. Для корпоративной среды, где сотрудники используют Chrome для работы с веб-приложениями и облачными сервисами, последствия могут быть катастрофическими - от утечки коммерческой тайны до полной компрометации рабочей станции.
Особенно уязвимы организации, которые до сих пор не настроили автоматическое обновление браузеров. Хотя Chrome по умолчанию обновляется в фоновом режиме, многие администраторы отключают эту функцию для контроля версий. В таких случаях необходимо применить патч вручную как можно скорее.
Google уже опубликовал страницу с подробным описанием обновления - релиз стабильного канала для настольных платформ состоялся 28 апреля 2026 года. Пользователям рекомендуется перезапустить браузер или вручную проверить наличие обновлений в настройках: раздел "О браузере Chrome" инициирует загрузку последней версии.
Стоит подчеркнуть, что данная уязвимость не является единичным случаем. Ошибки класса "использование после освобождения" регулярно обнаруживаются в браузерах и других программах, написанных на языках, не контролирующих управление памятью автоматически. Однако критичность именно этого бага в том, что он позволяет покинуть песочницу. Это коренным образом меняет масштаб угрозы: вместо атаки на сам браузер происходит атака на систему целиком.
Для обычных пользователей вывод однозначен: необходимо обновить Chrome. Лучше не откладывать эту операцию, так как публичное раскрытие уязвимости почти всегда означает, что в ближайшее время появится общедоступный эксплойт. Даже если сейчас атакующие не используют эту лазейку массово, целевые атаки - например, на журналистов, политиков или сотрудников крупных компаний - могут начаться в любой момент.
Говоря о мерах защиты, помимо обновления стоит обратить внимание на общие правила безопасности в сети. Не переходите по подозрительным ссылкам, не открывайте вложения от незнакомых отправителей и используйте антивирусные решения с модулем веб-защиты. Однако в данном случае главное - своевременная установка патча. Только это полностью устраняет угрозу.
Итак, ключевая информация для специалистов: обновите Chrome на всех рабочих станциях до версии не ниже 147.0.7727.137 (для Windows и Linux) и 147.0.7727.138 (для macOS). Убедитесь, что обновление выполняется централизованно, если у вас развёрнуты корпоративные политики. Проверьте также системы, где Chrome используется без активного интернет-соединения - в таких случаях патч может не установиться автоматически.
Подводя итог, можно сказать, что обнаружение CVE-2026-7359 ещё раз подтверждает: даже самые надёжные на первый взгляд продукты могут содержать критические изъяны. Ответственное отношение к обновлениям - единственный способ минимизировать риски. В мире, где атаки на цепочку поставок и удалённую эксплуатацию становятся рутиной, задержка с установкой патча на сутки может обернуться многомиллионными потерями. Поэтому действуйте без промедления.
Ссылки
- https://bdu.fstec.ru/vul/2026-06130
- https://www.cve.org/CVERecord?id=CVE-2026-7359
- https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_28.html
- https://feedly.com/cve/CVE-2026-7359
