Microsoft Edge: обновление безопасности закрывает 16 уязвимостей, включая критические

Разработчики Microsoft выпустили внеплановое обновление для своего браузера Edge, исправляющее сразу 16 уязвимостей. Некоторые из них позволяют злоумышленнику удалённо выполнять вредоносный код на компьютере жертвы. Патч получил номер версии 148.0.3967.83, и пользователям настоятельно рекомендуется установить его как можно скорее.

Детали уязвимостей

Сам по себе масштаб обновления вызывает тревогу. Среди закрытых брешей нашлись проблемы разного уровня опасности - от среднего до критического. Впрочем, корень многих проблем кроется не в коде самой Microsoft, а в движке Chromium, на котором базируется Edge. Это означает, что аналогичные уязвимости, скорее всего, присутствовали и в других браузерах на этой платформе, включая Google Chrome.

Какие угрозы несут исправленные уязвимости? Начнём с главного. Как минимум четыре дефекта классифицируются как критические. Один из них, CVE-2026-9110, связан с некорректной реализацией пользовательского интерфейса в операционной системе Windows. Атакующий, который уже сумел взломать процесс отрисовки веб-страниц, мог с помощью специально созданной HTML-страницы подменить элементы интерфейса. Такая техника открывает путь для фишинга: жертва думает, что нажимает на безопасную кнопку, а на деле даёт доступ к конфиденциальным данным.

Ещё одна критическая проблема - CVE-2026-9111. Это уязвимость типа "использование после освобождения" (use-after-free) в компоненте WebRTC (механизм для аудио- и видеозвонков в браузере). Она проявляется на Linux. Суть её в том, что программа обращается к участку памяти, который уже был освобождён. Этим можно воспользоваться для выполнения произвольного кода. Атака также производится через открытие вредоносной страницы.

На платформе Windows отдельное внимание привлекает CVE-2026-9112, затрагивающая графический процессор (GPU). Эта уязвимость также относится к типу use-after-free. Её опасность несколько снижается тем, что код выполняется в "песочнице" (изолированной среде браузера, ограничивающей доступ к системе). Однако, как показывает практика, выход из песочницы - лишь вопрос времени и наличия второй уязвимости для эскалации привилегий.

Перечень уязвимостей высокой степени серьёзности включает ещё более десятка пунктов. Например, CVE-2026-9114 - использование после освобождения в протоколе QUIC (современный протокол передачи данных на основе UDP). Она позволяет выполнить код через вредоносный сетевой трафик. При этом атакуемый даже не обязан открывать подозрительную ссылку: достаточно, чтобы заражённый пакет данных дошёл до браузера.

Ряд проблем (CVE-2026-9115 и CVE-2026-9116) связан с недостаточным контролем политик в Service Worker (фоновые скрипты, работающие отдельно от веб-страниц). Злоумышленник мог обойти правило ограничения домена (same-origin policy) и получить доступ к данным другого сайта. Для этого также достаточно было заманить жертву на специально подготовленный сайт.

Отдельного упоминания заслуживает уязвимость CVE-2026-9117 в компоненте GFX (графическая подсистема). Она найдена на Linux и ChromeOS. Этот дефект (путаница типов) позволяет злоумышленнику, который уже скомпрометировал процесс отрисовки, совершить побег из песочницы через поддельный видеофайл. То есть это готовый вектор для цепной атаки: сначала пользователь кликает на видео, получает контроль над браузерным процессом, а затем вырывается на свободу в операционную систему.

Часть уязвимостей, таких как CVE-2026-9121 и CVE-2026-9122, классифицируются как средние. Они позволяют прочитать данные за пределами выделенной памяти. В первом случае это может привести к повреждению кучи (heap corruption), во втором - к утечке чувствительной информации из памяти процесса. Хотя такие атаки сложнее монетизировать, они становятся полезным элементом для разведки перед основной атакой.

Закрытие такого объёма брешей за один раз - серьёзный сигнал для всех, кто использует Microsoft Edge. Если вы до сих пор откладывали обновление, сейчас для этого появился веский повод. Дело в том, что комбинация этих уязвимостей позволяет построить цепочку от простого посещения веб-сайта до полной компрометации системы. Особенно это касается пользователей Windows, под которую заточена львиная доля опасных дефектов.

Что делать прямо сейчас? Во-первых, проверить версию браузера. Она должна быть не ниже 148.0.3967.83. Если у вас включено автоматическое обновление, система, вероятно, уже загрузила патч, но могла отложить его установку до перезапуска. Во-вторых, корпоративным администраторам стоит убедиться, что обновление раскатилось на все рабочие станции. Особенно это актуально для машин под управлением Linux и Windows, ведь именно под эти платформы выпущено большинство критических заплаток.

Не стоит также забывать, что Edge - не единственный браузер, который впитал в себя эти баги. Найденные уязвимости наследуют код Chromium, а значит, обладатели Chrome, Brave, Opera и других "собратьев" тоже находятся в зоне риска, пока не установят соответствующие обновления от своих вендоров.

Детали уязвимостей

Ссылки