Корпорация Google выпустила срочное обновление для своего браузера Chrome, закрывающее сразу две опасные уязвимости. Обе получили статус критических и затрагивают миллионы пользователей на всех основных платформах - от настольных версий Windows, macOS и Linux до мобильной системы Android. Инцидент примечателен тем, что уязвимости имеют схожий механизм эксплуатации и одинаковый высокий рейтинг опасности.
Детали уязвимостей
Первая уязвимость, зарегистрированная в банке данных угроз безопасности информации (BDU) под номером BDU:2026-06121, а также в международном реестре CVE-2026-7353, обнаружена в графической библиотеке Skia. Эта библиотека отвечает за отрисовку интерфейса и графических элементов внутри браузера. Суть ошибки - переполнение буфера в динамической памяти. Если объяснять просто: программа выделила слишком мало места для временного хранения данных, и злоумышленник может отправить туда больше информации, чем ожидалось. Это приводит к тому, что соседние участки памяти перезаписываются вредоносным образом. Такая техника позволяет нарушителю, действующему удалённо, вызвать повреждение памяти и, как следствие, выполнить произвольный код на устройстве жертвы.
Вторая уязвимость (BDU:2026-06122, CVE-2026-7352) относится к компоненту Media, который отвечает за воспроизведение видео и аудио. Здесь ошибка принципиально иная, но не менее опасная. Она классифицируется как использование памяти после освобождения.
Обе уязвимости имеют одинаково высокую оценку критичности. По устаревшей, но всё ещё применяемой шкале CVSS 2.0 обе получили максимальный балл - 10. По более современной шкале CVSS 3.1 - 9,6 балла. Это говорит о том, что для эксплуатации не требуется сложных условий: достаточно удалённого доступа и низкой сложности атаки. Единственный барьер - необходимость вовлечения пользователя, который должен перейти по ссылке или открыть заражённый медиафайл.
Особое внимание стоит уделить охвату платформ. Уязвимость в библиотеке Skia затрагивает настольные версии Chrome для Windows до версии 147.0.7727.137, для macOS - до 147.0.7727.138, для Linux - до 147.0.7727.137. Важно, что для разных операционных систем границы патча незначительно отличаются. В свою очередь, уязвимость в компоненте Media затрагивает исключительно мобильную версию для Android до версии 147.0.7727.138. Это означает, что владельцы смартфонов на Android находятся под ударом двух разных угроз, хотя эксплойт для них пока официально не подтверждён.
Производитель уже выпустил исправления. Ссылка на официальный блог компании Google была опубликована 28 апреля 2026 года. Сейчас обе уязвимости закрыты в стабильном канале обновлений. Пользователям настоятельно рекомендуется проверить текущую версию браузера. Для этого нужно открыть меню Chrome, выбрать "Справка" и пункт "О браузере Google Chrome". Если версия ниже указанных выше номеров, браузер предложит загрузить обновление и выполнить перезапуск.
Специалистам по информационной безопасности стоит немедленно проверить журналы событий периметра и системы обнаружения вторжений (IDS) на предмет аномалий, связанных с графическими объектами или медиафайлами. Рекомендуется временно ограничить использование Chrome на критически важных узлах до установки обновления. Но основной адресат предупреждения - обычные пользователи. Они редко обновляют браузер вручную, полагаясь на автоматический режим. Однако в случае с такими серьёзными уязвимостями лучше лично убедиться, что патч установлен.
Если вы пользуетесь Google Chrome на Windows, macOS, Linux или Android, срочно проверьте версию и, при необходимости, скачайте обновление. В информационной безопасности нет места откладыванию на потом. Каждая критическая уязвимость - это окно возможностей для злоумышленников, и ваша задача - закрыть его как можно быстрее.
Ссылки
- https://bdu.fstec.ru/vul/2026-06121
- https://bdu.fstec.ru/vul/2026-06122
- https://www.cve.org/CVERecord?id=CVE-2026-7353
- https://www.cve.org/CVERecord?id=CVE-2026-7352
- https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_28.html
- https://feedly.com/cve/CVE-2026-7352
