Специалисты по кибербезопасности обнаружили критическую уязвимость в браузере Google Chrome, которая затрагивает миллионы пользователей по всему миру. Проблема получила идентификатор CVE-2026-7343 и была зафиксирована в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-06140. Речь идёт об ошибке в компоненте Views, который отвечает за отображение интерфейса. Уязвимость относится к типу "использование после освобождения", или Use-After-Free. Говоря простым языком, это означает, что программа пытается обратиться к участку памяти, который уже был освобождён и передан системе. В такой ситуации злоумышленник может подменить освобождённую область своим вредоносным кодом и выполнить его от имени браузера.
Детали уязвимости
По классификации CVSS версии 3.1 она получила 9,8 балла из 10 возможных. Это максимально близкий к абсолютному уровень опасности. Базовый вектор говорит о том, что атака может быть проведена удалённо, не требует аутентификации и не нуждается в каком-либо взаимодействии с пользователем. Иными словами, злоумышленнику достаточно, чтобы жертва просто открыла в браузере специально подготовленную веб-страницу. После этого нарушитель получает возможность в полном объёме воздействовать на конфиденциальность, целостность и доступность защищаемой информации. На практике это означает возможность кражи паролей, данных банковских карт, личной переписки, а также установку программ-вымогателей или полный захват управления над системой.
Под удар попали пользователи Chrome на всех трёх основных платформах. Уязвимыми признаны версии браузера до 147.0.7727.138 для операционных систем Windows и macOS, а также версии до 147.0.7727.137 для Linux. Проблема не ограничивается только самим браузером. Уязвимость также подтверждена для операционных систем на базе Debian GNU/Linux версий 11, 12 и 13. Дело в том, что многие дистрибутивы Linux, в том числе Debian, включают в свои репозитории версию Chromium, которая базируется на исходном коде Chrome. Соответственно, если на Debian установлен Chromium из официальных репозиториев, он тоже может быть уязвим. Производитель, компания Google, уже подтвердила факт существования бреши. Более того, компания выпустила обновление, полностью устраняющее проблему.
Характер ошибки классифицируется как уязвимость кода. Это значит, что проблема заложена в самой логике работы браузера, а не в неправильной настройке или действиях пользователя. Способ эксплуатации, согласно данным BDU, предполагает манипулирование структурами данных. Технически нарушитель может использовать освобождённый участок памяти, чтобы подсунуть браузеру поддельный объект. При определённых условиях это приводит к выполнению произвольного кода. На данный момент информация о наличии готового эксплойта - то есть программы, автоматизирующей атаку, - уточняется. Однако эксперты сходятся во мнении, что при таком уровне критичности и доступности деталей уязвимости появление рабочего кода для эксплуатации - лишь вопрос времени.
Какие последствия может иметь эта угроза? Если злоумышленник успешно воспользуется уязвимостью, он сможет удалённо запустить на машине жертвы произвольную программу с правами самого браузера. В современных системах браузеры работают в изолированной среде, так называемом "песочнице". Однако уязвимости класса Use-After-Free в компонентах UI, как в данном случае, часто позволяют обойти защитные механизмы изоляции. Это серьёзно расширяет возможности атакующего. Например, он может прочитать локальные файлы, получить доступ к хранимым паролям, кэшу браузера, истории посещений. Кроме того, возможна установка дополнительного вредоносного ПО без ведома пользователя.
Для специалистов по информационной безопасности этот инцидент - ещё одно напоминание о том, что даже самые распространённые и, казалось бы, надёжные продукты не застрахованы от критических ошибок. Компонент Views используется в Chrome для отрисовки практически всех элементов интерфейса: от адресной строки до вкладок и контекстных меню. Поэтому область атаки чрезвычайно широка. Атака может быть проведена через любое веб-приложение, которое открывается в браузере. Не обязательно даже, чтобы пользователь нажимал на подозрительные ссылки. Достаточно самого факта загрузки страницы с внедрённым вредоносным кодом.
Крайне важно как можно скорее обновить браузер до последней версии. Для Chrome это версия 147.0.7727.138 для Windows и macOS и 147.0.7727.137 для Linux. Пользователям Debian GNU/Linux необходимо проверить доступность обновления для пакета Chromium через системный менеджер пакетов. Обычно это делается командами apt update и apt upgrade. Если обновление ещё не пришло в стабильный репозиторий, стоит временно рассмотреть использование другого браузера, основанного на ином движке, либо включить режим усиленной защиты в настройках Chrome. Важно помнить, что данная уязвимость является критической, а значит, её закрытие не терпит отлагательств. Производитель уже выпустил исправление, и теперь слово за пользователями. Игнорирование такого обновления может привести к серьёзным последствиям для личных данных и безопасности корпоративной инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2026-06140
- https://www.cve.org/CVERecord?id=CVE-2026-7343
- https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_28.html
- https://security-tracker.debian.org/tracker/CVE-2026-7343
