В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая критическая уязвимость, получившая идентификатор BDU:2026-08190 (CVE-2026-11230). Проблема затронула два популярных браузера - Google Chrome и Microsoft Edge, а также операционные системы на ядре Linux, в частности дистрибутивы Debian и Fedora. Уязвимость, связанная с ошибочным использованием памяти после её освобождения (use-after-free), позволяет злоумышленнику удалённо выполнить произвольный код внутри изолированной среды браузера - песочницы. Для атаки достаточно заставить пользователя открыть специально созданную HTML-страницу.
Детали уязвимости
Что это значит на практике? Представьте, что браузер освобождает участок оперативной памяти после того, как перестаёт использовать определённые данные, но затем ошибочно обращается к этой области снова. Если злоумышленник успеет подменить содержимое освобождённой памяти, он сможет внедрить собственный код. Механизм песочницы в Chrome и Edge предназначен для того, чтобы изолировать вкладки веб-страниц от основной системы. Однако данная уязвимость позволяет атакующему обойти эту изоляцию и выполнить вредоносный код с правами, которые даёт песочница. Иными словами, защита не является непреодолимой.
Согласно записи в BDU, уязвимость относится к типу CWE-416 (использование после освобождения) и классифицируется как уязвимость кода. Базовая оценка по старой системе CVSS 2.0 составляет максимальные 10 баллов, что соответствует критическому уровню опасности. По более современной версии CVSS 3.1 оценка - 8,8 балла, то есть высокий уровень. Вектор атаки сетевой, сложность низкая, для эксплуатации не требуется аутентификация, но нужно взаимодействие пользователя. Полнота воздействия - полная: нарушитель может получить доступ к конфиденциальным данным, изменить их или полностью нарушить работоспособность системы.
Список уязвимых продуктов внушительный. Это Google Chrome версий ниже 149.0.7827.53 для Windows и Linux, а также ниже 149.0.7827.54 для macOS. Для Microsoft Edge порог - версия ниже 149.0.4022.52. Кроме того, под удар попали операционные системы Debian GNU/Linux 11, 12 и 13, а также пакет прикладного программного обеспечения Fedora EPEL 10. Почему в списке оказались дистрибутивы Linux? Дело в том, что Chrome и Edge используют общую кодовую базу на основе проекта Chromium. Уязвимость кроется именно в компоненте расширений (Extensions) этого движка, а значит, она затрагивает все браузеры на Chromium, включая те, что поставляются в репозиториях Debian и Fedora.
Важно подчеркнуть, что на момент публикации записи в BDU данные о наличии готового эксплойта уточняются. Однако сам факт подтверждения производителем и выпуск исправлений говорит о том, что угроза реальна. Google и Microsoft уже выпустили обновления: для Chrome - версия 149.0.7827.53 и выше, для Edge - 149.0.4022.52 и выше. Разработчики Debian и Fedora также предоставили соответствующие патчи через свои системы обновлений.
Каковы возможные последствия для бизнеса? Прежде всего, это риск компрометации корпоративных сетей. Если сотрудник откроет фишинговое письмо со ссылкой на вредоносную страницу, злоумышленник может получить возможность выполнить код внутри песочницы браузера. Хотя песочница ограничивает прямой доступ к файловой системе и реестру, современные техники атак позволяют из неё "вырваться" через другие уязвимости или неправильные настройки. Например, если браузер работает на сервере терминалов или в инфраструктуре виртуальных рабочих столов, атака может затронуть множество пользователей одновременно.
Кроме того, уязвимость затрагивает не только настольные версии, но и серверные сборки. Debian GNU/Linux широко используется в качестве серверной операционной системы. Хотя браузеры на серверах встречаются реже, компоненты Chromium могут применяться в безголовом режиме для рендеринга веб-страниц, тестирования или в составе специализированного программного обеспечения. В таких сценариях удалённая эксплуатация также возможна.
Первоочередная мера - обновить браузеры до указанных версий. Для Chrome это 149.0.7827.53 (Windows, Linux) или 149.0.7827.54 (macOS). Для Edge - 149.0.4022.52. Пользователям Debian следует установить обновления из официального репозитория безопасности, а владельцам Fedora EPEL - дождаться пакета от Red Hat. Поскольку уязвимость требует взаимодействия пользователя, важно также усилить меры по предотвращению фишинга: проводить тренинги, внедрять системы фильтрации ссылок и использовать многофакторную аутентификацию для минимизации последствий в случае успешной атаки.
Эта ситуация напоминает о том, насколько хрупкой может быть изоляция в современных браузерах. Несмотря на многоуровневую защиту, ошибки управления памятью продолжают оставаться одной из самых распространённых причин критических уязвимостей. По данным проекта CVE, только за последний год было зарегистрировано более сотни use-after-free-проблем в Chromium. Каждая из них потенциально может быть использована для выполнения кода.
В заключение стоит отметить, что уязвимость BDU:2026-08190 уже устранена производителями. Однако пока не все пользователи установили обновления, угроза сохраняется. Специалистам рекомендуется в кратчайшие сроки провести инвентаризацию используемых версий браузеров и применить патчи. Игнорирование такого предупреждения может привести к серьёзным инцидентам, особенно в организациях, где браузер является основным рабочим инструментом.
Ссылки
- https://bdu.fstec.ru/vul/2026-08190
- https://www.cve.org/CVERecord?id=CVE-2026-11230
- https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop.html
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2026-11230
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-11230
- https://security-tracker.debian.org/tracker/CVE-2026-11230
