Ключевые браузеры на основе Chromium, включая Google Chrome и Microsoft Edge, подвержены эксплуатации новой критической уязвимости. Проблема, зарегистрированная в Банке данных угроз (BDU) под номером BDU:2026-01937 и получившая идентификатор CVE-2026-1861, связана с библиотекой libvpx, используемой для обработки видео. Уязвимость классифицируется как запись за пределами буфера, что является подтипом переполнения буфера. Соответственно, злоумышленник, действующий удалённо, может создать специальную HTML-страницу, эксплуатация которой приведёт к отказу в обслуживании целевой системы.
Детали уязвимости
Технически ошибка возникает в процессе обработки видеофрагментов. Библиотека libvpx некорректно проверяет границы буфера перед операцией записи, что позволяет выйти за пределы выделенной области памяти. Это классическая ошибка программирования, относящаяся к классу CWE-787 (Запись за границами буфера) и её последствию CWE-122 (Переполнение буфера в куче). Хотя текущее описание в BDU указывает на возможность атаки на отказ в обслуживании, критический балл по шкале CVSS 2.0, равный максимальным 10.0, исторически часто сопутствует уязвимостям, открывающим путь для выполнения произвольного кода. Более современная оценка CVSS 3.1 также присваивает уязвимости высокий уровень опасности с баллом 8.8.
Затронутыми являются все основные платформы. В частности, уязвимы Google Chrome для Windows и Linux версий ранее 144.0.7559.132, а также версия для macOS ранее 144.0.7559.133. Браузер Microsoft Edge версий ранее 144.0.3719.115 также содержит эту опасную ошибку. Поскольку библиотека libvpx имеет открытый исходный код и широко используется в медиаобработке, эксперты не исключают, что уязвимость может затрагивать и другое программное обеспечение. На данный момент этот аспект уточняется разработчиками.
Производители оперативно отреагировали на обнаруженную проблему. Команда Google Chrome выпустила стабильное обновление для настольных платформ, которое полностью устраняет уязвимость. Аналогично, корпорация Microsoft опубликовала бюллетень безопасности с рекомендациями по обновлению Edge. Следовательно, основной и единственной необходимой мерой защиты является установка последних версий браузеров. Пользователям следует убедиться, что автоматические обновления прошли успешно, или вручную проверить наличие новых сборок через меню «Справка» или «Настройки».
Интересно, что вектор атаки требует взаимодействия с пользователем, так как для эксплуатации необходимо заставить жертву открыть подготовленную веб-страницу. Это может быть осуществлено через фишинговое письмо, сообщение в мессенджере или компрометированный рекламный баннер. Однако высокая сложность эксплуатации или отсутствие готового эксплойта на момент публикации бюллетеня не отменяют критичности самой ошибки. Более того, факт её наличия в коде делает обратный инжиниринг и создание работающего вредоносного кода лишь вопросом времени для опытных групп злоумышленников.
В целом, данная ситуация в очередной раз подчёркивает важность своевременного обновления программного обеспечения, особенно таких критичных компонентов, как веб-браузеры. Библиотеки с открытым исходным кодом, будучи драйвером инноваций, одновременно становятся точкой концентрации рисков. Следовательно, единая уязвимость в таком компоненте, как libvpx, может иметь широкий разрушительный эффект. К счастью, на этот раз реакция вендоров была быстрой, и патчи уже доступны для всех пользователей.
Ссылки
- https://bdu.fstec.ru/vul/2026-01937
- https://www.cve.org/CVERecord?id=CVE-2026-1861
- https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop.html
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-1861
