Опасная уязвимость в PDFium угрожает миллионам пользователей Chrome и Edge

Банк данных угроз безопасности информации (BDU) зарегистрировал новую критическую уязвимость, затрагивающую ядро обработки PDF в популярных браузерах. Уязвимость под идентификатором BDU:2026-03809 (CVE-2026-4455) обнаружена в компоненте PDFium, который используется в Google Chrome, Microsoft Edge и некоторых дистрибутивах Linux. Проблема классифицирована как переполнение буфера в динамической памяти (CWE-122) и позволяет злоумышленникам вызывать отказ в обслуживании (DoS) с помощью специально созданного PDF-документа.

Детали уязвимости

Уязвимость представляет высокий риск, поскольку для её эксплуатации не требуется аутентификация или особые привилегии. Нарушитель может действовать удалённо, заманивая жертву на вредоносный сайт или отправляя опасный файл по электронной почте. По базовой шкале CVSS 2.0 угрозе присвоен максимальный балл 10.0, что соответствует критическому уровню опасности. Более современная оценка по CVSS 3.1 также указывает на высокую серьёзность с баллом 8.8.

Под угрозой находятся актуальные версии двух самых распространённых браузеров в мире. А именно, Google Chrome для платформ Windows, Linux и macOS до версий 146.0.7680.153/154 и Microsoft Edge на базе Chromium до версии 146.0.3856.72. Кроме того, уязвимость затрагивает стабильные ветки популярных операционных систем Debian GNU/Linux 11, 12 и 13, поскольку они включают в себя пакеты с уязвимым программным обеспечением.

PDFium - это открытый движок для рендеринга PDF-документов, первоначально разработанный Foxit Software и позже адаптированный Google. Этот компонент стал стандартом для обработки PDF внутри экосистемы Chromium. Следовательно, любая ошибка в нём автоматически затрагивает все браузеры и приложения, построенные на этом движке. Переполнение буфера происходит, когда программа записывает данные за пределы выделенного участка динамической памяти. В результате это может привести к аварийному завершению работы браузера, что классифицируется как отказ в обслуживании.

Производители уже отреагировали на угрозу и выпустили необходимые патчи. Команда Google Chrome выпустила стабильное обновление для настольных платформ. Пользователям настоятельно рекомендуется проверить и установить последние версии браузеров. В частности, для Chrome нужно обновиться до версии, следующей за 146.0.7680.153 (Windows/Linux) или 146.0.7680.154 (macOS). Аналогично, Microsoft выпустила исправление для Edge, и обновление должно происходить автоматически через встроенную систему или вручную через меню "Справка и отзывы".

Для пользователей дистрибутивов Debian информацию об обновлениях следует отслеживать через официальный трекер безопасности. На текущий момент статус уязвимости отмечен как подтверждённый производителем и устранённый. В условиях, когда обновление от вендора временно недоступно, например, в корпоративных средах со строгим циклом тестирования, эксперты рекомендуют следовать общим принципам безопасности. В частности, можно руководствоваться рекомендациями по безопасной настройке Linux, например, из методических документов ФСТЭК России. Кроме того, следует проявлять повышенную бдительность при работе с PDF-файлами из непроверенных источников. В качестве дополнительной меры защиты можно использовать настройки песочницы (sandbox) в браузере, которые могут ограничить потенциальный ущерб.

Подводя итог, ситуация находится под контролем благодаря своевременным исправлениям. Главная задача для рядовых пользователей и системных администраторов - незамедлительно установить все доступные обновления безопасности. Регулярное обновление программного обеспечения остаётся самым эффективным способом защиты от подобных угроз. Кроме того, этот случай подчёркивает важность мониторинга официальных источников, таких как блог обновлений Chrome или трекер безопасности Microsoft, для получения оперативной информации.

Детали уязвимости

Ссылки