В Банке данных угроз безопасности информации (BDU) была зарегистрирована новая опасная уязвимость в браузере Google Chrome. Она получила идентификатор BDU:2026-05621, а также CVE-2026-5278 в международной системе CVE. Проблема связана с компонентом Web MIDI - веб-интерфейсом для поддержки MIDI-устройств. Ошибка типа «использование после освобождения» (use-after-free, CWE-416) позволяет злоумышленнику выполнить произвольный код на целевом устройстве удалённо. Для атаки достаточно заставить жертву открыть специально созданную HTML-страницу.
Детали уязвимости
Уязвимость затрагивает все десктопные версии Google Chrome до указанных сборок. Для операционных систем Windows и Linux проблема присутствует в версиях, предшествующих 146.0.7680.177. Для macOS критической оказалась сборка 146.0.7680.178. Таким образом, под удар попали пользователи трёх основных платформ. Разработчики из Google уже выпустили обновление, устраняющее неисправность, - стабильный канал обновлений от 31 марта 2026 года.
Суть ошибки заключается в том, что после освобождения области памяти программа продолжает использовать указатель на неё. Злоумышленник может манипулировать структурами данных, чтобы подменить содержимое освобождённого блока вредоносным кодом. Эксплойт для данной уязвимости уже существует в открытом доступе, что существенно повышает риски для пользователей, не установивших патч.
По шкале CVSS версии 2.0 базовая оценка уязвимости составляет максимальные 10 баллов - это критический уровень опасности. Вектор атаки сетевой (AV:N), сложность низкая (AC:L), для эксплуатации не требуется аутентификация (Au:N). Полный ущерб конфиденциальности, целостности и доступности (C:C/I:C/A:C). По версии CVSS 3.1 оценка равна 8,8 балла - высокий уровень. Здесь также низкая сложность, отсутствие привилегий, но требуется взаимодействие с пользователем (UI:R). Вектор CVSS 4.0 не задан.
На практике это означает, что атакующему достаточно убедить жертву кликнуть по ссылке или открыть заражённую веб-страницу. Дополнительные манипуляции не нужны. После успешной атаки злоумышленник получает полный контроль над браузером и, скорее всего, над операционной системой жертвы.
Google уже выпустила исправление в стабильной версии Chrome. Пользователям настоятельно рекомендуется немедленно обновить браузер до актуальной сборки. Сделать это можно через меню «Справка» → «О браузере Google Chrome». Система автоматически проверит наличие обновлений и предложит установить их. После перезапуска браузера уязвимость будет устранена.
Уязвимости класса use-after-free традиционно считаются одними из самых опасных. Они позволяют обходить механизмы защиты памяти и выполнять произвольный код. Наличие публичного эксплойта делает эту угрозу ещё более серьёзной. Организациям, использующим Google Chrome в корпоративной среде, следует как можно скорее развернуть обновление через системы управления конфигурациями. Домашним пользователям также не стоит откладывать установку патча.
Обновление браузера - единственный надёжный способ защиты от данной атаки. Любые другие меры, например блокировка JavaScript или отключение Web MIDI, могут снизить, но не устранить риск полностью. Регулярные обновления программного обеспечения остаются базовым элементом кибергигиены, особенно когда речь идёт о критических уязвимостях в популярных приложениях.
Ссылки
- https://bdu.fstec.ru/vul/2026-05621
- https://www.cve.org/CVERecord?id=CVE-2026-5278
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html
