Microsoft выпустила обновление для браузера Microsoft Edge (на базе Chromium), закрывающее уязвимость CVE-2026-50521. Проблема классифицирована как "важная", ей присвоен базовый балл 8,3 по шкале CVSS 3.1. Уязвимость связана с ошибкой типа Use-After-Free (использование после освобождения памяти) и позволяет аутентифицированному злоумышленнику удалённо выполнить произвольный код на целевой системе.
Уязвимость CVE-2026-50521
Для эксплуатации уязвимости атакующему достаточно иметь сетевой доступ к уязвимому браузеру и минимальные привилегии (Privileges Required: Low). Взаимодействие с пользователем не требуется (User Interaction: None), что существенно повышает потенциальную опасность. Под удар попадают все версии Microsoft Edge младше 149.0.4022.98. Обновление до указанной версии или более новой полностью устраняет угрозу.
Суть проблемы - в некорректной работе с памятью при обработке определённых сетевых запросов. В определённых сценариях браузер продолжает обращаться к участку памяти после того, как тот был освобождён. Это может привести к повреждению данных, а в случае грамотно составленной полезной нагрузки - к выполнению произвольного кода в контексте процесса Edge. Атака направлена на сетевой интерфейс (Attack Vector: Network), сложность её проведения низка (Attack Complexity: Low), что делает возможным организовать атаку даже без глубоких технических знаний о внутренней структуре браузера.
На момент публикации бюллетеня не зафиксировано случаев публичного раскрытия уязвимости или её активной эксплуатации в реальных атаках. Microsoft оценивает вероятность использования как "менее вероятную" (Exploitation Less Likely). Тем не менее наличие официального исправления и подтверждённый характер уязвимости (Report Confidence: Confirmed) делают её привлекательной для злоумышленников - особенно в контексте корпоративных сред, где Edge часто используется как основной браузер по умолчанию.
Для пользователей и администраторов рекомендуется как можно скорее установить обновление через механизм автоматического обновления Edge либо вручную загрузить последнюю версию с официального сайта Microsoft. Временных обходных мер, кроме обновления, не предложено. Учитывая, что уязвимость затрагивает браузер, входящий в состав операционных систем Windows, и активно продвигается Microsoft для корпоративного сегмента, промедление с установкой патча может привести к компрометации систем при удалённой атаке.
Данная уязвимость продолжает тенденцию роста числа ошибок типа Use-After-Free в браузерах на основе Chromium. По данным базы CVE, только за 2025-2026 годы в Microsoft Edge и Google Chrome было обнаружено более полутора десятков подобных проблем, причём несколько из них уже получили статус активно эксплуатируемых. Исправления публикуются регулярно, но скорость их внедрения пользователями остаётся ключевым фактором защиты.
Ссылки
