Специалисты по кибербезопасности зафиксировали сразу две критические уязвимости в двух популярных браузерах - Google Chrome и Microsoft Edge. Обе проблемы получили максимальные оценки опасности по международной шкале CVSS: 10 баллов из 10 по версии 2.0 и 9,6 балла по версии 3.1. Речь идет об ошибках, которые позволяют удаленному злоумышленнику обходить встроенные механизмы защиты браузера и получать полный доступ к системе пользователя.
Детали уязвимостей
Первая уязвимость, зарегистрированная в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-07401, а также идентификатором CVE-2026-7908, связана с работой полноэкранного режима браузера. Вторая, BDU:2026-07404 (CVE-2026-7910), затронула компонент Views - элемент, отвечающий за отображение окон и интерфейсных элементов. Обе уязвимости относятся к одному и тому же типу ошибки - использование памяти после освобождения, или, если говорить проще, ситуация, когда программа продолжает обращаться к области памяти, которая уже должна быть закрыта и возвращена системе. Это классическая ошибка программирования, но её последствия могут быть катастрофическими.
Чтобы понять, чем это опасно, важно разобраться, как работает защита браузера. Современные веб-обозреватели, такие как Chrome и Edge, изолируют вкладки и процессы друг от друга. Каждая запущенная страница работает внутри так называемой "песочницы" - ограниченной среды, из которой программа не может получить доступ к операционной системе. Это сделано для того, чтобы даже вредоносный код на сайте не смог навредить компьютеру. Однако обнаруженная ошибка позволяет атакующему вырваться за пределы этой "песочницы".
В чем заключается механизм атаки? Злоумышленник создает специальную веб-страницу или внедряет вредоносный код в рекламный баннер. Когда пользователь переходит по ссылке или просто открывает скомпрометированный сайт, код начинает манипулировать структурами данных. Ошибка использования памяти после освобождения приводит к тому, что браузер теряет контроль над выделенной памятью. Злоумышленник может записать в неё свои данные, а затем выполнить произвольный код уже от имени пользователя и за пределами изоляции.
Согласно данным из официальных источников, уязвимости затрагивают операционные системы Windows, Linux и macOS. Для Google Chrome версии ниже 148.0.7778.96 (на Linux и Windows) и ниже 148.0.7778.97 (на macOS) опасность сохраняется. Для Microsoft Edge критичными являются сборки до 148.0.3967.54. Важно подчеркнуть, что производитель уже выпустил исправления, и уязвимости официально устранены.
Почему эти уязвимости привлекли столь пристальное внимание? Дело в том, что обе они позволяют обойти "песочницу" - механизм, который считается основой безопасности любого современного браузера. Если этот щит падает, последствия могут быть самыми серьёзными. Злоумышленник получает доступ к данным пользователя: файлам, сохраненным паролям, банковским cookie, истории переписки. Более того, атакующий может установить на компьютер пользователя программы-вымогатели, которые зашифруют все файлы и потребуют выкуп. Или внедрить шпионское ПО для слежки за нажатиями клавиш.
Кроме того, такой тип атак особенно опасен в корпоративной среде. Например, если сотрудник использует уязвимую версию браузера на рабочем компьютере, атакующий может не только украсть корпоративные данные, но и использовать скомпрометированную машину как точку входа во внутреннюю сеть компании. Это открывает путь для более масштабных атак, включая развертывание программ-вымогателей на серверах или кражу баз данных.
На данный момент данные об активном использовании этих уязвимостей компаниями-разработчиками не раскрываются. В официальных бюллетенях указано, что наличие готового эксплойта уточняется. Однако практика показывает, что как только информация об уязвимости публикуется, хакеры начинают активно искать способы её эксплуатации.
Что рекомендуют специалисты? Прежде всего, немедленно обновить браузер до последней стабильной версии. Для Chrome необходимо установить сборку 148.0.7778.96 и выше (или 148.0.7778.97 для macOS). Для Edge - версию 148.0.3967.54 и выше. Обновить браузер можно через его внутренние настройки. В Chrome это делается по адресу chrome://settings/help, в Edge - edge://settings/help. Если автоматическое обновление отключено, его следует включить или скачать установочный пакет с официального сайта разработчика. Также стоит обратить внимание на браузеры, построенные на движке Chromium, такие как Яндекс.Браузер или Opera - уязвимости могли затронуть и их, так как они используют тот же код. Пользователям этих браузеров необходимо следить за обновлениями от своих вендоров.
Кроме того, администраторам корпоративных сетей стоит временно ограничить доступ к сайтам, использующим полноэкранные режимы, до полного обновления парка браузеров. Однако самым надёжным решением остаётся простая привычка: не игнорировать уведомления об обновлениях. В мире кибербезопасности один день промедления может стоить многомиллионных убытков.
Ссылки
- https://bdu.fstec.ru/vul/2026-07401
- https://bdu.fstec.ru/vul/2026-07404
- https://www.cve.org/CVERecord?id=CVE-2026-7908
- https://www.cve.org/CVERecord?id=CVE-2026-7910
- https://chromereleases.googleblog.com/2026/05/stable-channel-update-for-desktop.html
- https://issues.chromium.org/issues/497436531
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-7908
- https://issues.chromium.org/issues/497543810
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-7910
