28 апреля 2026 года корпорация Microsoft выпустила внеплановое обновление для своего браузера Edge, закрывающее опасную уязвимость, получившую идентификатор CVE-2026-6920. Проблема затрагивает все версии Edge на движке Chromium, выпущенные ранее 147.0.3912.87, и связана с ошибкой чтения за пределами выделенной области памяти в графическом процессоре (GPU). Хотя официально уязвимость была обнаружена и устранена в проекте Chromium компанией Google ещё 23 апреля, Microsoft оперативно подготовила собственный патч всего через пять дней.
Уязвимость CVE-2026-6920
Природа этой угрозы требует отдельного пояснения. Речь идёт о так называемом чтении за пределами буфера (out-of-bounds read) - классической ошибке работы с памятью, которая позволяет злоумышленнику получить доступ к данным, хранящимся за границами отведённого участка. В данном случае аномалия возникает в подсистеме GPU браузера. Однако, в отличие от многих подобных багов, которые приводят лишь к сбою программы или утечке информации, здесь атакующий может пойти гораздо дальше.
Согласно описанию в бюллетене Chrome, уязвимость CVE-2026-6920 представляет собой угрозу высокого уровня серьёзности. Для её эксплуатации злоумышленнику необходимо сначала скомпрометировать процесс рендеринга - то есть тот компонент браузера, который отвечает за отображение веб-страниц. Это может произойти, например, при переходе на заражённый сайт или при открытии специально созданного HTML-файла. А вот уже после этого ошибка в GPU позволяет атакующему осуществить побег из песочницы (sandbox escape) - то есть вырваться за пределы изолированной среды, в которой выполняются скрипты и сторонний код. Такая изоляция, или песочница, - один из главных механизмов защиты современных браузеров. Она не даёт вредоносному коду, запущенному на веб-странице, получить доступ к операционной системе. Если же песочница прорвана, атакующий может выполнять произвольные команды на устройстве жертвы.
Для пользователей и компаний это означает, что злоумышленник, уже контролирующий процесс рендеринга (например, через заражённый сайт), может получить полный контроль над компьютером: устанавливать вредоносное ПО, воровать данные, подключать устройство к ботнету или шифровать файлы с помощью программ-вымогателей. При этом сама атака может быть незаметной - пользователю достаточно просто открыть страницу или кликнуть по ссылке в письме, а дальнейшие действия происходят без его ведома.
Примечательно, что уязвимость была обнаружена в коде Chromium - открытой основы, на которой построены многие браузеры, включая Microsoft Edge, Google Chrome, Opera и другие. Поэтому патч, выпущенный Google 23 апреля, стал отправной точкой для всей экосистемы. Microsoft, в свою очередь, встроила исправление в Edge версии 147.0.3912.87. Компания настоятельно рекомендует пользователям проверить текущую версию браузера (она отображается в меню "Справка и обратная связь" → "О Microsoft Edge") и установить обновление как можно скорее. Для организаций с централизованным управлением актуально также отслеживание выхода обновления через каналы Microsoft Update.
С практической точки зрения история CVE-2026-6920 в очередной раз напоминает о критической важности своевременного обновления браузеров. Даже если уязвимость кажется малопригодной для массовых атак - для её использования требуется предварительная компрометация процесса рендеринга, - в связке с другими уязвимостями она может стать решающим звеном в цепочке атаки. Киберпреступники постоянно ищут способы обойти песочницу, и ошибки в работе с памятью GPU остаются одним из самых перспективных векторов. Поэтому приоритетной мерой защиты остаётся включение автоматических обновлений для всех продуктов на базе Chromium и использование последних версий браузеров, а также применение принципа минимальных привилегий для рабочих станций - это снижает потенциальный ущерб даже в случае успешного побега из песочницы. Microsoft и Google продолжают координировать усилия по закрытию подобных брешей, но и пользователям стоит проявлять бдительность: переход по незнакомым ссылкам и открытие вложений из подозрительных писем могут привести к тому, что уязвимость сначала сработает в рендерере, а затем - выведет атакующего за его пределы.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-6920
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-6920
