Критические уязвимости в Chrome и Edge: эксплойты ведут к полному компрометированию систем

В Банке данных угроз (BDU) безопасности информации зарегистрированы две критические уязвимости, затрагивающие основные компоненты браузеров Google Chrome и Microsoft Edge. Эксперты присвоили идентификаторы BDU:2026-03181 и BDU:2026-03182. Данные уязвимости, связанные с ошибками в низкоуровневых графических библиотеках, позволяют удаленному злоумышленнику полностью захватить контроль над системой жертвы. Обе проблемы уже подтверждены производителями и устранены в последних стабильных обновлениях.

Детали уязвимостей

Первая уязвимость (CVE-2026-3536, BDU:2026-03181) обнаружена в библиотеке ANGLE, которая отвечает за рендеринг графики. Конкретно речь идет о целочисленном переполнении (CWE-190). Вторая (CVE-2026-3538, BDU:2026-03182) существует в графическом движке Skia и классифицируется как целочисленная потеря значимости (CWE-191). Обе ошибки относятся к классу уязвимостей кода. Несмотря на технические различия, сценарий эксплуатации и последствия идентичны. Атакующий может создать специальную HTML-страницу, которая при посещении пользователем спровоцирует сбой в обработке графических данных.

Механизм эксплуатации включает манипулирование структурами данных и инъекцию. Согласно системам оценки CVSS, угрозы получили максимально высокие баллы. По версии CVSS 2.0 базовый показатель составляет 10.0, что соответствует критическому уровню опасности. Более современная версия CVSS 3.1 присваивает уязвимостям оценку 8.8, что также классифицируется как высокий уровень опасности. Критичность объясняется тем, что для успешной атаки не требуется аутентификация пользователя (PR:N), а взаимодействие сводится к посещению вредоносной веб-страницы (UI:R). В результате злоумышленник потенциально может получить возможность выполнять произвольный код, читать конфиденциальные данные, нарушать целостность информации и вызывать отказ в обслуживании (C:H/I:H/A:H).

Уязвимости затрагивают все версии Google Chrome до 145.0.7632.159 и Microsoft Edge до 145.0.3800.97. Точные данные об уязвимых операционных системах и аппаратных платформах уточняются. Однако, учитывая кроссплатформенную природу библиотек ANGLE и Skia, угроза, вероятно, актуальна для всех поддерживаемых ОС, включая Windows, macOS и Linux. На текущий момент наличие публичных эксплойтов не подтверждено. Тем не менее, после публикации деталей об исправлении риск появления таких инструментов в активном использовании значительно возрастает.

Единственным эффективным способом устранения угрозы является немедленное обновление программного обеспечения. Компания Google выпустила исправление в рамках стабильного обновления для настольных версий браузера. Корпорация Microsoft также опубликовала бюллетень безопасности и обновила браузер Edge. Пользователям необходимо убедиться, что их браузеры обновлены до актуальных версий: Google Chrome 145.0.7632.159 и новее, Microsoft Edge 145.0.3800.97 и новее. Процесс обновления обычно происходит автоматически, но его можно инициировать вручную через меню "Справка" или "Настройки".

Обнаружение двух критических уязвимостей в ключевых компонентах наиболее популярных браузеров подчеркивает важность своевременного применения обновлений безопасности. Графические подсистемы, такие как ANGLE и Skia, являются сложными элементами, и ошибки в них могут иметь далеко идущие последствия. Эксперты рекомендуют организациям, особенно использующим браузеры в корпоративной среде, ускорить процесс тестирования и развертывания этих патчей. Кроме того, стоит напомнить, что даже посещение доверенных сайтов может быть опасно в случае их компрометации злоумышленниками для размещения вредоносного контента. Следовательно, обновление остается краеугольным камнем защиты.

Детали уязвимостей

Ссылки