В начале июня корпорация Microsoft выпустила обновления для своего браузера Edge, закрывающие три уязвимости, обнаруженные известным исследователем безопасности Оранжем Цаем из команды DEVCORE. Все они были продемонстрированы в ходе престижного конкурса по взлому Pwn2Own. Уязвимости получили идентификаторы CVE-2026-45492, CVE-2026-45494 и CVE-2026-45495, а патчи для них стали доступны 4 июня 2026 года. Хотя Microsoft оперативно отреагировала на угрозу, каждая из найденных проблем заслуживает внимания из‑за потенциальных последствий для пользователей.
Детали уязвимостей
Первый недостаток, CVE-2026-45492, оценён в 4,3 балла по шкале CVSS (стандартная система оценки критичности уязвимостей). Он кроется в механизме управляемого входа между устройствами. Суть проблемы - неполная проверка источника веб-контента, что позволяет удалённому злоумышленнику получить доступ к ограниченным функциям без каких‑либо привилегий. Для успешной атаки жертве достаточно открыть вредоносную страницу или файл. Сама по себе эта уязвимость не даёт прямого доступа к данным и не приводит к сбою браузера. Однако, как отмечают эксперты, её можно объединить с другими - например, чтобы выполнить произвольный код от имени текущего пользователя. Вектор атаки (AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N) показывает невысокую сложность эксплуатации и доступность для широкого круга злоумышленников.
Вторая уязвимость, CVE-2026-45494, получила 5,0 балла и связана с обработкой навигации в браузере. Она относится к классу Universal Cross-Site Scripting (UXSS - межсайтовый скриптинг, который может срабатывать на любом домене). Причина - недостаточная проверка данных, вводимых пользователем, что позволяет внедрить произвольные скрипты. Атакующий может выполнить вредоносный код в контексте любого сайта, который открывает жертва. Особенно опасна такая атака в корпоративной среде, где сотрудники авторизованы в чувствительных внутренних приложениях. Вектор (AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L) указывает на более высокую сложность эксплуатации, зато последствия затрагивают конфиденциальность, целостность и доступность хотя и на умеренном уровне.
Самая серьёзная из трёх - CVE-2026-45495 - оценена в 7,5 балла и представляет собой полноценную удалённую выполнение кода. Она обнаружена в компоненте обработки логов обратной связи Edge. Из‑за недостаточной проверки пути, переданного пользователем, возникает уязвимость класса directory traversal (обход каталогов). Это позволяет злоумышленнику, объединив эту проблему с двумя другими, исполнить произвольный код в контексте текущего пользователя. Вектор (AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H) демонстрирует максимальное влияние на все три аспекта безопасности: конфиденциальность, целостность и доступность.
Все три уязвимости были переданы Microsoft 20 мая 2026 года. Координированное раскрытие информации состоялось 4 июня через программу Zero Day Initiative (ZDI - инициатива по поиску уязвимостей нулевого дня). Корпорация уже выпустила обновления через свой центр реагирования на угрозы MSRC. Пользователям и организациям, использующим Microsoft Edge, настоятельно рекомендуется незамедлительно установить последнюю версию браузера.
Оранж Цай - не новичок в мире кибербезопасности. Ранее он неоднократно становился победителем Pwn2Own, демонстрируя сложные цепочки эксплойтов. Его работа в команде DEVCORE традиционно выявляет глубокие уязвимости в популярных продуктах. В этот раз исследователь показал, как недостатки в разных компонентах Edge можно использовать в связке, что повышает их совокупную опасность.
С точки зрения практической пользы, для специалистов по безопасности важно понимать: даже уязвимости с невысокими баллами CVSS (как первая, 4,3) могут стать частью более сложной атаки. Поэтому нельзя пренебрегать обновлениями, которые закрывают лишь "лёгкие" проблемы. Кроме того, атаки типа UXSS особенно опасны в корпоративных сетях, где браузер является окном во внутренние ресурсы. Рекомендуется усилить мониторинг на предмет подозрительной активности навигации и внедрения скриптов.
В заключение стоит подчеркнуть: Microsoft оперативно закрыла все три уязвимости, но пользователи должны сами проявить бдительность. Установка обновлений - единственный надёжный способ защититься от подобных угроз. При этом сам факт участия исследователей в Pwn2Own и последующее раскрытие информации через ZDI демонстрирует зрелость индустрии: уязвимости не замалчиваются, а исправляются до того, как злоумышленники начнут их массово эксплуатировать. Для обычных пользователей главный вывод прост: не откладывать обновление браузера Edge. Для компаний - проверить, что все рабочие станции с Edge получили патчи, а также пересмотреть политики управления браузерами в корпоративной среде.
Ссылки
- https://www.zerodayinitiative.com/advisories/ZDI-26-329/
- https://www.zerodayinitiative.com/advisories/ZDI-26-330/
- https://www.zerodayinitiative.com/advisories/ZDI-26-331/
