Критическая уязвимость, зарегистрированная в Банке данных угроз (BDU) под номером BDU:2026-03735, была выявлена в графической библиотеке Skia, которая является ключевым компонентом для отображения контента в браузерах Google Chrome и Microsoft Edge. Ошибка типа «чтение за пределами буфера» (CWE-125) позволяет злоумышленнику выполнять произвольный код на устройстве жертвы. Эксплуатация уязвимости возможна при посещении пользователем специально созданной вредоносной HTML-страницы, что ставит под угрозу конфиденциальность, целостность и доступность данных.
Детали уязвимости
Уязвимость затрагивает широкий спектр программного обеспечения. В частности, под угрозой находятся Google Chrome для Windows, macOS и Linux версий до 146.0.7680.153/154, а также Chromium-based Microsoft Edge версий до 146.0.3856.72. Кроме того, уязвимость присутствует в дистрибутивах Debian GNU/Linux 11, 12 и 13, поскольку они включают устаревшие пакеты браузера. Согласно методологии оценки CVSS, уровень угрозы классифицируется как критический, с базовой оценкой 10.0 по версии CVSS 2.0 и высокий с оценкой 8.8 по CVSS 3.1.
Причина уязвимости кроется в механизме обработки графических данных библиотекой Skia. Ошибка реализации приводит к операции чтения памяти за пределами выделенного для данных буфера. Следовательно, атакующий может манипулировать этими структурами данных, чтобы прочитать чувствительную информацию из памяти процесса или подготовить условия для выполнения произвольного кода. Важно отметить, что для успешной атаки требуется только взаимодействие пользователя с вредоносной веб-страницей, что делает угрозу особенно распространенной.
Производители уже отреагировали на инцидент и выпустили обновления безопасности. Компания Google устранила проблему в стабильном выпуске Chrome от 18 марта 2026 года. Аналогично, Microsoft опубликовала патч для браузера Edge. Владельцам систем на базе Debian необходимо обновить соответствующие пакеты через официальные репозитории. Эксперты настоятельно рекомендуют немедленно установить последние версии браузеров, поскольку информация о наличии готовых эксплойтов в настоящее время уточняется.
В условиях активного использования браузеров для работы и доступа к критически важным сервисам данная уязвимость представляет значительный риск. Удаленное выполнение кода может привести к полному компрометированию системы, установке программ-вымогателей (ransomware) или краже конфиденциальных данных. Поэтому своевременное обновление является наиболее эффективной мерой защиты. Для организаций, которые по каким-либо причинам не могут немедленно обновить ПО, ФСТЭК России рекомендует следовать руководствам по безопасной настройке операционных систем Linux.
Идентификатор CVE-2026-4460 был присвоен данной уязвимости для международного отслеживания. Информация о ней была подтверждена всеми вовлеченными вендорами. Подобные инциденты подчеркивают важность комплексного подхода к кибербезопасности, который включает не только регулярное обновление ПО, но и применение дополнительных мер защиты. Например, использование современных решений класса EDR может помочь обнаружить и заблокировать попытки эксплуатации подобных уязвимостей на ранних стадиях.
Таким образом, уязвимость в Skia служит очередным напоминанием о сложности современного программного обеспечения и постоянной необходимости поддержания его в актуальном состоянии. Пользователям и администраторам следует проявить бдительность и убедиться, что все системы защищены последними патчами. В противном случае они могут стать легкой мишенью для киберпреступников, которые активно ищут и используют подобные бреши в безопасности для достижения своих целей.
Ссылки
- https://bdu.fstec.ru/vul/2026-03735
- https://www.cve.org/CVERecord?id=CVE-2026-4460
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_18.html
- https://security-tracker.debian.org/tracker/CVE-2026-4460
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-4460
