В Банке данных угроз безопасности информации (BDU) были зарегистрированы две серьезные уязвимости браузера Google Chrome. Обе получили идентификаторы BDU:2026-05618 и BDU:2026-05619 (CVE-2026-5272 и CVE-2026-5275). Они затрагивают компоненты Dawn и ANGLE соответственно. Уязвимости уже подтверждены производителем, а их эксплуатация позволяет удаленно выполнить произвольный код. Для этого злоумышленнику достаточно заставить жертву открыть специально созданную HTML-страницу.
Детали уязвимостей
Первая проблема, CVE-2026-5272, находится в графическом движке Dawn. Ошибка классифицируется как переполнение буфера в динамической памяти (CWE-122). Злоумышленник манипулирует структурами данных, что приводит к повреждению памяти. Вторая уязвимость, CVE-2026-5275, обнаружена в библиотеке ANGLE, отвечающей за трансляцию графических API. Тип ошибки тот же - переполнение буфера. Обе уязвимости имеют одинаковый вектор атаки: удаленный, без аутентификации, но требующий взаимодействия с пользователем.
Уровень опасности оценивается как критический по шкале CVSS 2.0 - базовая оценка составляет 10 баллов. По версии CVSS 3.1 показатель равен 8,8, что соответствует высокому уровню опасности. Атакующий может получить полный контроль над системой: нарушить конфиденциальность, целостность и доступность данных. Вредоносный код будет выполняться с правами текущего пользователя. Это делает атаки особенно опасными в корпоративной среде, где браузер часто работает с повышенными привилегиями.
Уязвимому ПО подвержены все основные платформы. Для Windows и Linux уязвимы версии Chrome до 146.0.7680.177, для macOS - до 146.0.7680.178. Google уже выпустила обновление, которое устраняет обе проблемы. Рекомендуется немедленно установить последнюю стабильную версию. Ссылка на официальный бюллетень опубликована в блоге Chrome Releases. Наличие эксплойта пока не подтверждено, но данные уточняются. Учитывая критические оценки CVSS и простоту вектора атаки, можно ожидать появления рабочего кода. Злоумышленники активно ищут такие уязвимости для внедрения в цепочки атак. Например, они могут использовать скомпрометированные сайты для доставки вредоносной полезной нагрузки (payload). Вымогательское ПО (ransomware) часто распространяется через подобные бреши. Поэтому задержка с обновлением грозит серьезными последствиями.
Способы устранения стандартны: обновление программного обеспечения. Пользователям рекомендуется проверить версию Chrome в разделе «О браузере» и перезапустить браузер после применения патча. Корпоративным администраторам стоит ускорить развертывание обновления через системы управления. Дополнительно можно использовать средства защиты веб-трафика и системы обнаружения вторжений (IDS/IPS). Браузер остается одной из самых популярных целей для атак. Компания Google реагирует быстро, но пользователи также должны нести ответственность за свои настройки.
В заключение подчеркнем, что угроза реальна. Даже без подтвержденных эксплойтов нельзя расслабляться. Обновление Chrome - единственный надежный способ избежать компрометации. Рекомендуем проверить версию браузера прямо сейчас.
Ссылки
- https://bdu.fstec.ru/vul/2026-05618
- https://bdu.fstec.ru/vul/2026-05619
- https://www.cve.org/CVERecord?id=CVE-2026-5272
- https://www.cve.org/CVERecord?id=CVE-2026-5275
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html
