Microsoft экстренно закрывает более ста уязвимостей в Edge - среди них критические угрозы побега из песочницы

Корпорация Microsoft выпустила внеочередное обновление для своего браузера Edge, которое закрывает сразу 119 уязвимостей. Большинство из них имеют высокий или критический уровень опасности, а некоторые позволяют злоумышленнику выполнить код за пределами изолированной среды браузера. Речь идёт о версиях Edge старше 148.0.3967.96 для Windows, Mac, Android и iOS. Патч вышел 29 и 31 мая 2026 года.

Детали уязвимостей

Браузер Edge - один из самых популярных в корпоративной среде и среди домашних пользователей. Он используется для работы с онлайн-банкингом, облачными сервисами и корпоративными системами. Массовое закрытие такого количества уязвимостей означает, что атакующие уже могли получить информацию о брешах и начать их эксплуатацию. Среди исправленных проблем есть несколько "критических" ошибок, которые позволяют обойти главный механизм защиты - так называемую "песочницу".

Что такое "песочница"? Это технология изоляции, при которой каждый процесс браузера работает в ограниченном окружении. Даже если злоумышленнику удастся выполнить код внутри одного из этих процессов (например, рендеринга веб-страницы), он не сможет напрямую обратиться к операционной системе и получить доступ к файлам или запускать программы. Уязвимости типа "побег из песочницы" (sandbox escape) означают, что атакующий может вырваться за пределы этой изоляции и получить полный контроль над устройством.

Факты об инциденте. Источником данных стали бюллетени безопасности Microsoft, выложенные на портале MSRC (Microsoft Security Response Center). Все уязвимости пронумерованы в системе CVE (Common Vulnerabilities and Exposures) - от CVE-2026-9873 до CVE-2026-9999 и от CVE-2026-10000 до CVE-2026-10022. Многие из них затрагивают компоненты, лежащие в основе браузера: движки рендеринга ANGLE, Skia, V8, а также модули для работы с графикой (Dawn, WebGL) и сетевыми взаимодействиями (WebRTC, WebAudio).

Особого внимания заслуживают одиннадцать уязвимостей с грифом "критические". Например, CVE-2026-9873 и CVE-2026-9874 - это ошибки типа "использование после освобождения памяти" в компонентах Network и Dawn. Они позволяют удалённому злоумышленнику выполнить произвольный код или сбежать из песочницы через специально сформированную HTML-страницу. Другие критические проблемы, такие как CVE-2026-9877 и CVE-2026-9878, затрагивают ANGLE - прослойку для работы с графикой. Они также дают возможность обойти изоляцию.

Большинство остальных уязвимостей оценены как "высокие". Они могут привести к утечке данных между разными веб-сайтами (cross-origin data leak), повреждению кучи (области памяти, используемой для динамического выделения ресурсов) или выполнению кода внутри песочницы. Например, CVE-2026-9881 в Bluetooth на macOS может быть использована через вредоносное расширение. А CVE-2026-9957 и CVE-2026-9958 затрагивают встроенный просмотрщик PDF - достаточно открыть специально созданный PDF-файл, чтобы активировать атаку.

Последствия для пользователей. Если злоумышленник сможет эксплуатировать хотя бы одну из критических уязвимостей, он получит возможность устанавливать вредоносное ПО, красть пароли, читать почту или перехватывать банковские сессии. Для атак в большинстве случаев не требуется никаких дополнительных прав - достаточно заманить жертву на заражённую страницу или убедить её открыть PDF-файл. Особенно уязвимы пользователи версий Edge для Android и iOS: на мобильных платформах браузерная песочница менее надёжна, а некоторые уязвимости (например, CVE-2026-9875 и CVE-2026-9950) работают только на этих операционных системах.

Что делать? Единственный способ защититься - немедленно установить обновление. Для этого откройте меню Edge (три точки в правом верхнем углу), выберите "Справка и обратная связь" → "О браузере". Браузер автоматически начнёт загрузку исправлений. После завершения перезапустите программу. В корпоративных сетях администраторам следует распространить обновление через системы управления обновлениями как можно скорее. Откладывать установку патча крайне опасно - исследователи уже опубликовали общие сведения об уязвимостях, что ускоряет создание эксплойтов.

Этот выпуск исправлений - один из самых масштабных за последнее время. Он показывает, насколько сложным стал код современных браузеров и как важно поддерживать программное обеспечение в актуальном состоянии. Даже однократный пропуск обновления может привести к компрометации системы. Не стоит полагаться на то, что "песочница" защитит от всех угроз - как видно из списка, злоумышленники регулярно находят способы её обхода.

Детали уязвимостей

Ссылки