В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в компоненте ANGLE, который используется в популярных браузерах. Речь идет об идентификаторе BDU:2026-03711, также известном как CVE-2026-4452. Эта уязвимость представляет серьезную угрозу для миллионов пользователей по всему миру. По сути, она связана с фундаментальной ошибкой программирования в библиотеке ANGLE, отвечающей за рендеринг графики через OpenGL и DirectX.
Детали уязвимости
Техническая суть проблемы заключается в целочисленном переполнении. Данный тип уязвимости возникает, когда результат арифметической операции превышает максимальное значение, которое может хранить переменная. В результате этого происходит некорректное выделение памяти. Специально созданная вредоносная HTML-страница может спровоцировать это переполнение. Как следствие, злоумышленник способен вызвать полный отказ в обслуживании, то есть аварийное завершение работы браузера.
Угроза является удаленной и не требует аутентификации. Злоумышленнику достаточно заманить пользователя на подготовленную веб-страницу. Уязвимость затрагивает широкий спектр программного обеспечения. В первую очередь, под удар попадают актуальные версии Google Chrome для Windows, macOS и Linux, выпущенные до версий 146.0.7680.153 и 146.0.7680.154. Аналогично уязвимы версии Chromium-based Microsoft Edge, предшествующие сборке 146.0.3856.72. Кроме того, проблема распространяется на дистрибутивы Debian GNU/Linux 11, 12 и 13, которые включают в себя эти браузеры.
Согласно общепринятой системе оценки CVSS, уровень опасности уязвимости классифицируется как критический. Базовая оценка по версии CVSS 2.0 достигает максимальных 10.0 баллов. Более современная метрика CVSS 3.1 присваивает уязвимости высокий уровень опасности с оценкой 8.8. Высокие баллы обусловлены тем, что для эксплуатации не требуются специальные привилегии или сложные условия. При этом потенциальный ущерб включает полный компрометацию конфиденциальности и целостности данных.
Производители уже отреагировали на угрозу и выпустили необходимые патчи. Компания Google опубликовала обновления в своем стабильном канале. Пользователям настоятельно рекомендуется немедленно проверить и установить последние версии браузеров. Аналогичные обновления были выпущены и для Microsoft Edge через Центр обновления. Для систем на базе Debian исправления следует искать в стандартных репозиториях безопасности. Своевременное обновление является единственным надежным способом устранения данной угрозы.
В условиях, когда обновление по каким-либо причинам невозможно, эксперты рекомендуют следовать общим принципам безопасной настройки. В частности, можно руководствоваться соответствующими методическими документами профильных органов. Однако важно понимать, что такие меры носят ограниченный характер и не заменяют установку официального патча. Они могут лишь усложнить эксплуатацию сопутствующих угроз.
На текущий момент информация о наличии активных эксплойтов, использующих эту уязвимость, уточняется. Тем не менее, учитывая ее критический характер и относительную простоту эксплуатации, появление публичных proof-of-concept или активных атак в ближайшее время вполне вероятно. Следовательно, окно для применения исправлений может быть весьма ограниченным. Промедление с установкой обновлений подвергает системы неоправданному риску.
Данный инцидент в очередной раз подчеркивает важность поддержания программного обеспечения в актуальном состоянии. Библиотеки, такие как ANGLE, являются ключевыми компонентами современных веб-браузеров. Уязвимость в них ставит под угрозу безопасность всего приложения. Регулярное обновление остается самой эффективной практикой кибергигиены для обычных пользователей и корпоративных сред.
Ссылки
- https://bdu.fstec.ru/vul/2026-03711
- https://www.cve.org/CVERecord?id=CVE-2026-4452
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_18.html
- https://security-tracker.debian.org/tracker/CVE-2026-4452
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-4452
