Главная страница » Уязвимости
0
8 часов
Уязвимости

Майский патч для Microsoft Edge закрывает 27 уязвимостей в движке Chromium

Microsoft Edge

В начале мая 2026 года корпорация Microsoft выпустила внеплановое обновление для своего браузера Microsoft Edge. Разработчики устранили сразу 27 уязвимостей, которые затрагивали ядро Chromium - открытую программную основу, на которой построен браузер. Проблемы были обнаружены в различных компонентах движка, и большинство из них относятся к категории опасных. Обновление уже доступно для всех пользователей Windows, macOS и Linux, и специалисты по безопасности настоятельно рекомендуют установить его без промедления.

Детали уязвимостей

Под удар попали все версии Microsoft Edge старше 147.0.3912.98. Уязвимости охватывают широкий спектр модулей: от обработки графики и видео до работы с сетями и пользовательским интерфейсом. Среди них преобладают ошибки типа "использование после освобождения" - это распространённая в Chromium проблема, когда программа обращается к уже освобождённому участку памяти. Такая ситуация способна привести к нестабильной работе или, что гораздо хуже, к выполнению произвольного кода злоумышленника.

Особое внимание стоит уделить уязвимости CVE-2026-7337. Она связана с так называемой "путаницей типов" в движке V8, который отвечает за выполнение кода JavaScript. Злоумышленнику достаточно заманить пользователя на специально созданную веб-страницу, чтобы получить контроль над браузером. Аналогичная опасность исходит от ошибки CVE-2026-7348 в кодеках (программах для кодирования и декодирования мультимедиа). Переполнение буфера в куче в модуле WebRTC (технология для передачи голоса и видео в реальном времени) также чревато полной компрометацией системы.

Не менее серьёзны проблемы в модуле ANGLE, который используется для трансляции графических команд. Там обнаружено как целочисленное переполнение (непреднамеренное превышение допустимого диапазона числа), так и чтение с записью за границами буфера. Обе эти уязвимости могут быть использованы для внедрения вредоносного кода. В отдельную категорию вынесены недостатки проверки входных данных в компонентах Feedback и Compositing. В первом случае речь идёт о модуле обратной связи, во втором - о механизме компоновки веб-страниц.

Такое количество одновременно закрытых "дыр" - явление редкое, но не уникальное для браузеров на базе Chromium. Дело в том, что код этого движка используется многими продуктами: помимо Edge это Google Chrome, Opera, Brave и другие. Поэтому зачастую уязвимости сначала находят и закрывают в Chrome, а затем патч распространяется на все зависимые браузеры. В данном случае Microsoft оперативно выпустила исправление для Edge спустя всего несколько дней после выхода патча для Chrome.

Для корпоративных пользователей ситуация особенно критична. Дело в том, что браузер Edge является штатным инструментом во многих организациях, использующих Windows. Уязвимости в нём создают прямой канал для атак на внутреннюю сеть. Целевая атака на конкретное предприятие может начаться именно с фишингового письма, ссылка в котором ведёт на вредоносный сайт, эксплуатирующий одну из описанных CVE. Особенно опасны ошибки в модуле Cast (трансляция контента на внешние устройства) и Chromoting (удалённое управление), так как они открывают доступ к периферийным устройствам и данным.

Среди исправленных проблем также отметим уязвимость CVE-2026-7351, связанную с состоянием гонки в MHTML (формат архива веб-страниц). Эта проблема менее известна широкой публике, но она позволяет обойти политики безопасности браузера при загрузке сохранённых страниц.

Как защититься от этих угроз? Ответ прост: как можно скорее обновите браузер. Для этого достаточно перейти в меню настроек Edge, выбрать пункт "О программе Microsoft Edge" (или ввести в адресную строку edge://settings/help). Система автоматически проверит наличие обновления и предложит установить его. После перезапуска браузера номер версии должен соответствовать 147.0.3912.98 или более новому.

Автоматическое обновление в большинстве случаев включено по умолчанию, но администраторам корпоративных сетей стоит дополнительно проверить политики развёртывания обновлений. Ведь задержка в установке патча даже на несколько дней может стоить компании утечки данных или простоя инфраструктуры. Майский патч для Edge закрывает не просто набор багов, а потенциальные точки входа для самых разных атак - от массового заражения программами-вымогателями до целевого шпионажа. Игнорировать его не стоит никому, кто пользуется этим браузером.

Ссылки

Комментарии: 0
Похожие записи
0
04.05.2026
Уязвимости

Критическая уязвимость в браузере Google Chrome: удаленное выполнение кода через компонент WebMIDI

vulnerability
В Банке данных угроз безопасности информации (BDU) была зафиксирована запись о новой критической уязвимости в браузере Google Chrome, получившая идентификатор BDU:2026-06127.
0
04.05.2026
Уязвимости

Google Chrome получил экстренное обновление для устранения 30 уязвимостей, включая четыре критические

Google Chrome
28 апреля 2026 года компания Google выпустила внеплановое обновление стабильной версии браузера Chrome, которое закрывает сразу тридцать уязвимостей. Четыре из них получили статус критических, ещё двадцать
0
04.05.2026
Уязвимости

Критическая уязвимость в Google Chrome: версия 147 угрожает миллионам пользователей, в том числе на Debian GNU/Linux

vulnerability
Специалисты по кибербезопасности обнаружили критическую уязвимость в браузере Google Chrome, которая затрагивает миллионы пользователей по всему миру. Проблема получила идентификатор CVE-2026-7343 и была
0
04.05.2026
Уязвимости

Критическая уязвимость в Google Chrome: атакующие могут покинуть границы браузера

vulnerability
В конце апреля 2026 года команда безопасности Google выпустила внеочередное обновление для браузера Chrome. Причина - обнаружение критической уязвимости, затрагивающей все основные платформы.