Специалисты по кибербезопасности подтвердили наличие критической уязвимости в движке обработки JavaScript V8, который является основой браузеров Google Chrome и Microsoft Edge. Уязвимость, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-01938 и получившая идентификатор CVE-2026-1862, связана с ошибками при преобразовании типов данных. Эксплуатация данной уязвимости позволяет удаленному злоумышленнику спровоцировать отказ в обслуживании (DoS), используя специально созданную HTML-страницу. Производители уже выпустили необходимые обновления, поэтому пользователям настоятельно рекомендуется незамедлительно установить патчи.
Детали уязвимости
Уязвимость классифицируется как "Доступ к ресурсу через несовместимые типы" (CWE-843) и представляет собой уязвимость на уровне кода. Она затрагивает все основные настольные платформы. В частности, уязвимыми являются Google Chrome для Windows и Linux версий ниже 144.0.7559.132, а также версия для macOS ниже 144.0.7559.133. Что касается Microsoft Edge, то риску подвержены все версии, предшествующие сборке 144.0.3719.115. Важно отметить, что движок V8 используется и в других продуктах, поэтому список потенциально уязвимого программного обеспечения может быть расширен по мере уточнения данных.
Уровень опасности этой уязвимости оценивается как крайне высокий. Согласно методологии оценки CVSS 2.0, ей присвоен максимально возможный базовый балл - 10.0, что соответствует критическому уровню. Более современная метрика CVSS 3.1 также указывает на высокую опасность с базовым баллом 8.8. Высокие оценки обусловлены тем, что для успешной атаки не требуется аутентификация пользователя или сложные подготовительные действия. Злоумышленнику достаточно завлечь жертву на вредоносный сайт, что делает угрозу массовой и легко реализуемой. Однако на данный момент информация о наличии активных эксплойтов или атак в дикой природе уточняется.
Основным вектором атаки является манипулирование структурами данных в движке JavaScript. Когда пользователь посещает скомпрометированную веб-страницу, небезопасный код может вызвать некорректное преобразование типов в ядре V8. В результате это приводит к сбою в работе браузера - его аварийному закрытию или "зависанию". Хотя текущее описание указывает на возможность атаки на отказ в обслуживании, подобные уязвимости в ядре часто становятся отправной точкой для более опасных эксплуатаций, включая удаленное выполнение кода (RCE). Следовательно, игнорирование обновления может иметь серьезные последствия.
К счастью, производители оперативно отреагировали на обнаруженную проблему. Уязвимость уже подтверждена и устранена. Компания Google выпустила стабильное обновление для Chrome. Пользователям необходимо убедиться, что их браузер обновлен до версии 144.0.7559.132 или выше для Windows и Linux, и до версии 144.0.7559.133 или выше для macOS. Обновление обычно происходит автоматически, но можно ускорить процесс, перейдя в раздел "Справка" → "О браузере Google Chrome". Аналогичным образом, корпорация Microsoft выпустила патч для своего браузера Edge. Рекомендуется обновить его до версии 144.0.3719.115, проверив наличие обновлений в меню "Справка и отзывы" → "О Microsoft Edge".
Данный инцидент в очередной раз подчеркивает важность своевременного обновления программного обеспечения, особенно такого критического, как веб-браузер. Браузер является основным интерфейсом взаимодействия с интернетом и постоянно обрабатывает непроверенный код из внешних источников. Регулярные обновления часто содержат исправления именно таких уязвимостей нулевого дня, которые становятся мишенью для APT-групп и киберпреступников. Проактивное применение патчей является ключевым элементом базовой гигиены кибербезопасности для каждого пользователя и организации. Эксперты также напоминают о важности использования современных решений Endpoint Detection and Response (EDR) и соблюдения принципа минимальных привилегий для снижения потенциального ущерба от подобных инцидентов.
Ссылки
- https://bdu.fstec.ru/vul/2026-01938
- https://www.cve.org/CVERecord?id=CVE-2026-1862
- https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop.html
- https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2026-1862
