Специалисты по информационной безопасности обнаружили крайне опасную уязвимость в браузере Google Chrome, которая получила идентификатор CVE-2026-5874. Проблема была зафиксирована в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-06288. Речь идёт о критическом дефекте кода, который позволяет злоумышленнику, действующему удалённо, обойти песочницу браузера - один из ключевых механизмов защиты современного веб-обозревателя.
Детали уязвимости
Песочница в Chrome - это изолированная среда, которая ограничивает возможности вредоносного кода. Если злоумышленник находит уязвимость в самом браузере, он может запустить атаку с помощью специально созданной веб-страницы. Жертве достаточно просто перейти по ссылке, чтобы злоумышленник получил контроль над системой. В данном случае опасность усугубляется тем, что дефект позволяет вырваться за пределы песочницы и получить доступ к операционной системе целиком.
Уязвимость относится к типу CWE-416, что расшифровывается как "использование после освобождения". Это классическая ошибка управления памятью. Простыми словами: программа обращается к участку памяти, который уже был освобождён для других задач. Такое поведение приводит к нестабильной работе, а в руках опытного нарушителя становится инструментом для внедрения произвольного кода. Компонент PrivateAI, в котором найден дефект, отвечает за локальную обработку данных с использованием искусственного интеллекта. Именно эта функция появилась в Chrome не так давно и, как выяснилось, содержит серьёзную брешь.
Насколько серьёзна угроза? Оценка по шкале CVSS версии 3.1 составляет 9,6 балла из 10 возможных. Это критический уровень опасности. Вектор атаки выглядит следующим образом: злоумышленнику не нужна аутентификация, атака проводится удалённо, сложность эксплуатации низкая. Единственное условие - требуется взаимодействие пользователя.
Важно понимать, что уязвимость затрагивает все версии Google Chrome до 147.0.7727.55. Это означает, что большинство пользователей, не установивших последнее обновление, находятся под угрозой. Производитель уже подтвердил существование дефекта и выпустил исправление. Ссылка на обновление опубликована в официальном блоге Google 2 апреля 2026 года. Рекомендуется немедленно обновить браузер до актуальной версии.
Теперь немного подробнее о механизме эксплуатации. Судя по данным BDU, способ атаки предполагает манипулирование структурами данных. Это технически сложный, но вполне реализуемый метод. Злоумышленник создаёт специальную веб-страницу, которая при загрузке в браузер инициирует последовательность операций с памятью. В результате ошибка "использование после освобождения" приводит к тому, что программа-вымогатель или другая вредоносная полезная нагрузка получает возможность выполняться за пределами песочницы. После этого защитные механизмы операционной системы становятся бесполезными.
Наличие эксплойта пока не подтверждено, но это не должно успокаивать. Опыт показывает, что после публикации информации об уязвимости злоумышленники начинают активно разрабатывать инструменты для её использования. Особенно это касается браузеров, которыми пользуются миллионы людей ежедневно. В таких случаях время играет решающую роль: чем быстрее пользователи установят обновление, тем меньше шансов у злоумышленников.
Отдельно стоит обратить внимание на то, что уязвимость обнаружена в компоненте PrivateAI. Это относительно новая функция Chrome, которая обрабатывает данные локально, без отправки на серверы Google. Ирония в том, что технология, призванная повысить конфиденциальность пользователей, сама стала источником критической угрозы. Впрочем, это характерно для многих современных решений: чем сложнее система, тем больше в ней потенциальных точек отказа.
Какие выводы можно сделать? Прежде всего, необходимо как можно скорее обновить Google Chrome до версии 147.0.7727.55 или выше. Сделать это можно через меню настроек браузера. Для корпоративных пользователей рекомендуется организовать централизованное обновление через системы управления конфигурациями. Также стоит временно ограничить использование функций, связанных с PrivateAI, если это возможно.
Кроме того, инцидент лишний раз напоминает о важности базовых правил кибергигиены. Не следует переходить по сомнительным ссылкам, особенно если они пришли от неизвестных отправителей. Использование современных средств защиты, таких как системы обнаружения вторжений (IDS) и межсетевые экраны, может снизить риск, но не гарантирует полной безопасности. Лучшая защита от подобных уязвимостей - своевременное обновление программного обеспечения.
Подводя итог, можно сказать, что обнаруженная уязвимость - это серьёзный звонок для всех пользователей Chrome. Разработчики Google оперативно отреагировали и выпустили исправление. Теперь слово за пользователями: установить обновление или рисковать безопасностью своих данных.
Ссылки
- https://bdu.fstec.ru/vul/2026-06288
- https://www.cve.org/CVERecord?id=CVE-2026-5874
- https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop.html
