В марте 2026 года российский Банк данных угроз безопасности информации (BDU) подтвердил критическую уязвимость, затрагивающую миллионы пользователей по всему миру. Уязвимость под идентификатором BDU:2026-03691 (также известная как CVE-2026-4457) обнаружена в обработчике JavaScript-сценариев V8, который является сердцем браузеров Google Chrome и Microsoft Edge на базе Chromium. Следовательно, ошибка представляет серьезную угрозу для веб-безопасности.
Детали уязвимости
По своей сути, уязвимость классифицируется как "Доступ к ресурсу через несовместимые типы" (CWE-843). Говоря простым языком, это ошибка смешения типов данных в движке V8. Злоумышленник может создать специальную HTML-страницу со сценарием, который запутает механизмы обработки типов в браузере. В результате успешной эксплуатации это приводит к отказу в обслуживании (DoS), то есть к аварийному завершению работы браузера или его полной неработоспособности.
Уровень опасности этой уязвимости оценен как критический. Например, базовая оценка по методологии CVSS 2.0 достигает максимального значения 10.0. Более современная оценка CVSS 3.1 также указывает на высокий риск с баллом 8.8. Важно отметить, что для атаки не требуется никаких специальных привилегий или действий от пользователя, кроме посещения вредоносной веб-страницы. Это значительно упрощает потенциальную эксплуатацию.
Под угрозой находятся все основные версии браузеров. В частности, уязвимы Google Chrome для Windows, macOS и Linux до версий 146.0.7680.153 и 146.0.7680.154. Аналогично, Microsoft Edge на базе Chromium уязвим до версии 146.0.3856.72. Кроме того, проблема затрагивает дистрибутивы Debian GNU/Linux 11, 12 и 13, поскольку они включают в свои репозитории уязвимые пакеты браузера.
Производители уже отреагировали на угрозу. Компания Google выпустила обновления, информацию о которых можно найти в официальном блоге. Корпорация Microsoft также опубликовала соответствующие патчи через свой Центр обновлений. Сообщество Debian отслеживает исправление через систему безопасности. Согласно данным BDU, уязвимость уже устранена разработчиками.
Несмотря на то что основной заявленный вектор атаки - это отказ в обслуживании, эксперты проявляют особую бдительность. Дело в том, что ошибки смешения типов в таких сложных компонентах, как V8, исторически иногда могут быть использованы для более серьезных атак. Теоретически, они потенциально способны привести к выполнению произвольного кода. Однако на текущий момент в открытых источниках нет подтверждений о существовании работающего эксплойта для подобного сценария.
Тем не менее, учитывая критический уровень угрозы, пользователям и администраторам необходимо действовать незамедлительно. Основной и единственный надежный способ устранения уязвимости - это обновление программного обеспечения. Владельцам персональных компьютеров рекомендуется проверить и установить последние обновления для Google Chrome или Microsoft Edge через настройки браузера. Системным администраторам в организациях следует как можно скорее развернуть обновленные версии пакетов на всех рабочих станциях.
В условиях, когда немедленное обновление невозможно, например, на изолированных системах, ФСТЭК России рекомендует следовать руководящим документам по безопасной настройке ОС Linux. Эти меры могут помочь снизить общую поверхность атаки, но не устранят саму уязвимость. Поэтому обновление остается приоритетной задачей.
Данный инцидент в очередной раз подчеркивает важность своевременного применения исправлений безопасности. Уязвимости в общих компонентах, таких как движок V8, создают риски сразу для огромного спектра программного обеспечения. Своевременное обновление браузеров, являющихся основным инструментом работы в интернете, - это базовое правило кибергигиены для каждого пользователя и организации.
Ссылки
- https://bdu.fstec.ru/vul/2026-03691
- https://www.cve.org/CVERecord?id=CVE-2026-4457
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_18.html
- https://security-tracker.debian.org/tracker/CVE-2026-4457
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-4457
