В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая ключевые веб-браузеры на базе Chromium. Эксперты присвоили идентификатор BDU:2026-01826. Данная уязвимость связана с компонентом WebGPU и представляет серьезную угрозу для пользователей. Она классифицирована как ошибка чтения за границами буфера памяти.
Детали уязвимости
Уязвимость затрагивает популярные браузеры Google Chrome и Microsoft Edge. В частности, подвержены атаке Google Chrome версий до 145.0.7632.45 для Linux и Windows, а также версий до 145.0.7632.46 для macOS. Также под угрозой находится Microsoft Edge версии 144.0.3719.115. Злоумышленник может использовать специально созданную HTML-страницу для эксплуатации этой уязвимости. В результате успешной атаки возможна полная компрометация системы.
Главная опасность заключается в возможности удаленного выполнения кода. Злоумышленник, действуя удаленно, может получить полный контроль над уязвимой системой. Следовательно, это позволяет нарушителю читать конфиденциальные данные, изменять информацию или нарушать работоспособность системы. Уязвимость получила высшие оценки по шкале CVSS. Базовая оценка CVSS 2.0 составляет максимальные 10 баллов, что соответствует критическому уровню опасности.
Оценка по современной метрике CVSS 3.1 также указывает на высокую угрозу с баллом 8.8. Вектор атаки предполагает сетевой доступ, не требует привилегий или взаимодействия с пользователем по версии 2.0. Однако в CVSS 3.1 учтено требование к действию пользователя, например, посещению вредоносной веб-страницы. Таким образом, простое открытие скомпрометированного сайта может привести к эксплуатации уязвимости.
Компонент WebGPU является современным API для высокопроизводительной графики и вычислений в браузере. Эта технология предоставляет прямой доступ к графическому процессору. Поэтому уязвимости в ее реализации особенно опасны, поскольку позволяют обходить стандартные механизмы безопасности браузера. Ошибка типа "чтение за границами буфера" возникает, когда программа обращается к областям памяти за пределами выделенного для данных буфера.
Подобные ошибки часто приводят к аварийному завершению программы, но в данном случае они позволяют выполнить произвольный код. Производитель, компания Google, уже подтвердил наличие уязвимости и присвоил ей идентификатор CVE-2026-2315. Важно отметить, что уязвимость была успешно устранена в последних стабильных сборках браузеров. Соответственно, основной способ защиты - немедленное обновление программного обеспечения.
Пользователям необходимо убедиться, что их браузеры обновлены до актуальных версий. Для Google Chrome это версии 145.0.7632.45 и выше для Windows/Linux и 145.0.7632.46 для macOS. Обновление для Microsoft Edge также должно быть установлено в кратчайшие сроки. Процесс обновления обычно происходит автоматически, но его можно ускорить, проверив наличие обновлений вручную через меню "Справка" или "Настройки".
На текущий момент информация о наличии активных эксплойтов в дикой природе уточняется. Однако учитывая критический характер уязвимости и широкую распространенность целевого программного обеспечения, эксперты предполагают высокую вероятность появления инструментов для эксплуатации в ближайшее время. Следовательно, задержка с обновлением значительно повышает риски для конечных пользователей и организаций.
Данный инцидент подчеркивает важность своевременного применения патчей безопасности. Регулярное обновление программного обеспечения остается самым эффективным методом защиты. Особенно это актуально для таких сложных компонентов, как WebGPU, которые активно развиваются. В итоге, пользователям рекомендуется проявлять бдительность и не откладывать установку критических обновлений безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2026-01826
- https://www.cve.org/CVERecord?id=CVE-2026-2315
- https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_10.html
