Корпорация Microsoft выпустила масштабное обновление для своего браузера Edge, построенного на движке Chromium (открытая кодовая база, лежащая в основе многих современных браузеров). В рамках майского цикла исправлений было закрыто более 130 уязвимостей. Значительная часть из них относится к категории высокого и критического уровня опасности по шкале CVSS. Пользователям настоятельно рекомендуется проверить, что их браузер обновлён до версии 148.0.3967.54 или новее.
Детали уязвимостей
Масштаб обновления объясняется просто: Microsoft Edge наследует исходный код проекта Chromium, который поддерживает Google. Компания Google ранее сообщила об этих уязвимостях в своём браузере Chrome, и теперь Microsoft интегрировала исправления в Edge. Обновление распространяется автоматически, однако из-за большого количества закрытых дыр стоит убедиться, что процесс прошёл успешно.
В списке исправленных проблем есть несколько уязвимостей, оценённых в 9,6 балла по CVSS - это самый высокий уровень в данном обновлении. К примеру, в компоненте Fullscreen (полноэкранный режим) и Views (фреймворк для элементов интерфейса) обнаружены ошибки типа use after free (использование памяти после её освобождения - классический сценарий, позволяющий злоумышленнику выполнить произвольный код). Обе уязвимости позволяли удалённому атакующему, скомпрометировавшему процесс рендеринга, совершить побег из изолированной среды (sandbox) и получить полный контроль над системой. Для эксплуатации достаточно было заманить пользователя на специально созданную HTML-страницу.
Особого внимания заслуживает уязвимость CVE-2026-33111 в компоненте Copilot Chat (встроенный помощник с искусственным интеллектом). Она связана с некорректной нейтрализацией специальных символов в командах (command injection). Злоумышленник может раскрыть конфиденциальные данные удалённо, не требуя взаимодействия с пользователем. Оценка 7,5 балла означает высокий уровень угрозы. Это первый случай, когда уязвимость затронула непосредственно функцию ИИ-ассистента в Edge.
Среди прочих исправлений - множество проблем в различных подсистемах: V8 (движок JavaScript), WebRTC (протокол для аудио- и видеосвязи), Skia (графическая библиотека), Blink (основной движок рендеринга), а также в компонентах для обработки мультимедиа и файловой системы. Типичные сценарии атак включают в себя переполнение буфера, выход за границы памяти и некорректную обработку входных данных. Многие уязвимости позволяли выполнить код в контексте песочницы, но в ряде случаев атакующий мог из неё вырваться.
На платформе Windows, по данным Microsoft, зафиксирована уязвимость в службе Chromoting (удалённый доступ Chrome). Локальный злоумышленник мог повысить свои привилегии до уровня операционной системы. Аналогичная проблема присутствует в версиях для macOS и Linux. Отдельные ошибки затрагивают мобильные версии Edge на Android и iOS. Например, уязвимость CVE-2026-7931 позволяет подменить интерфейс браузера на устройствах Apple.
Стоит отметить, что, по заявлению Microsoft, на данный момент нет подтверждённых случаев эксплуатации этих уязвимостей в реальных атаках. Однако для нескольких CVE статус "эксплуатируется" указан как неизвестный. Учитывая, что большинство проблем уже описаны в открытых базах данных, злоумышленники могут быстро создать эксплойты.
Для корпоративных пользователей это означает необходимость ускорить развёртывание обновления через системы управления конфигурациями. Частным пользователям достаточно перезапустить браузер или проверить версию в разделе "О браузере". Edge обновляется в фоновом режиме, но иногда процесс может задерживаться из-за политик безопасности. Рекомендуется вручную инициировать проверку.
В целом, такой крупный патч свидетельствует о продолжающейся гонке вооружений между разработчиками и злоумышленниками. Chromium - сложнейший программный продукт, и каждая новая сборка содержит сотни изменений. Поддержание актуальности браузера остаётся одним из самых эффективных методов защиты. Игнорирование подобных обновлений может привести к утечке данных, установке программ-вымогателей и полному захвату устройства.
Подведём итог: майское обновление Microsoft Edge критически важно для всех пользователей. Оно закрывает более 130 уязвимостей, включая те, что позволяют выполнить код удалённо и обойти защиту. Особое внимание стоит уделить проблемам в Copilot Chat и в механизмах повышения привилегий. Убедитесь, что ваш браузер обновлён до версии 148.0.3967.54 или выше.
Ссылки
