Критическая уязвимость, зарегистрированная в Банке данных угроз (BDU) под номером BDU:2026-03184, была обнаружена в инструментах разработчика (DevTools) популярных браузеров Google Chrome и Microsoft Edge. Эта проблема, получившая идентификатор CVE-2026-3539, связана с использованием объекта без вызова метода деструктора (CWE-1091). Удалённый злоумышленник может эксплуатировать эту уязвимость для организации атаки на отказ в обслуживании (DoS), используя специально созданное вредоносное расширение. Производители уже выпустили обновления, устраняющие риск.
Детали уязвимости
Уязвимость затрагивает Google Chrome версий ранее 145.0.7632.159 и Microsoft Edge версий ранее 145.0.3800.97. Согласно методологии оценки CVSS, угрозе присвоен критический уровень опасности. Базовая оценка по CVSS 2.0 достигает максимального значения 10.0, а по более современной CVSS 3.1 - 8.8, что соответствует высокому уровню. Высокие оценки обусловлены тем, что для эксплуатации не требуются аутентификация или специальные привилегии, а последствия могут быть серьёзными, включая полный компрометацию конфиденциальности, целостности и доступности системы.
Техническая суть уязвимости заключается в ошибке управления памятью в компонентах DevTools. Когда объект создаётся, но не уничтожается корректно путём вызова деструктора, это может привести к утечке памяти или нестабильности. В контексте браузерных инструментов разработчика такая ошибка становится вектором атаки. Злоумышленник может создать вредоносное расширение, которое, взаимодействуя с уязвимым кодом DevTools, спровоцирует сбой. В результате браузер пользователя может аварийно завершить работу, что и является отказом в обслуживании.
Способ эксплуатации классифицируется как манипулирование структурами данных. На текущий момент информация о наличии публичных эксплойтов уточняется. Однако высокая степень опасности и относительная простота потенциальной атаки делают своевременное обновление критически важным. Стоит отметить, что для успешной атаки требуется определённое взаимодействие с пользователем, например, установка поддельного расширения. Тем не менее, социальная инженерия часто используется для обмана жертв.
Оба производителя оперативно отреагировали на обнаруженную проблему. Компания Google выпустила стабильное обновление для настольных версий Chrome, подробности о котором опубликованы в официальном блоге. Корпорация Microsoft предоставила руководство по обновлению для уязвимости CVE-2026-3539. Статус уязвимости уже изменён на "устранённая". Специалисты рекомендуют всем пользователям немедленно проверить и обновить свои браузеры до актуальных версий.
Для Google Chrome необходимо убедиться, что установлена версия 145.0.7632.159 или новее. Владельцам Microsoft Edge требуется обновить браузер до версии 145.0.3800.97 и выше. Процесс обновления обычно происходит автоматически, но его можно запустить вручную через меню "Справка" или "Настройки". Для корпоративных сред, где управление обновлениями централизовано, важно как можно скорее развернуть исправленные сборки. Результаты тестирования этих обновлений уже подтвердили их эффективность.
Данный инцидент в очередной раз подчёркивает важность регулярного обновления программного обеспечения, особенно такого критичного, как веб-браузер. Инструменты разработчика, хотя и не всегда на виду у обычного пользователя, являются неотъемлемой частью браузерной инфраструктуры. Следовательно, их безопасность напрямую влияет на общую стабильность. Эксперты по кибербезопасности также советуют устанавливать расширения только из официальных источников и быть предельно осторожными с предложениями из непроверенных источников.
В заключение, уязвимость CVE-2026-3539 в DevTools браузеров Chrome и Edge представляет собой серьёзную угрозу, позволяющую организовать удалённую атаку на отказ в обслуживании. Несмотря на то что основной вектор связан с вредоносными расширениями, простота эксплуатации и высокий потенциальный ущерб требуют немедленных действий. К счастью, производители оперативно выпустили патчи. Таким образом, главная рекомендация для пользователей и администраторов - обеспечить установку последних обновлений безопасности в кратчайшие сроки.
Ссылки
- https://bdu.fstec.ru/vul/2026-03184
- https://www.cve.org/CVERecord?id=CVE-2026-3539
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop.html
- https://issues.chromium.org/issues/483853098
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-3539
