В Банке данных угроз безопасности информации (BDU) появилась новая запись под номером BDU:2026-03690, описывающая критическую уязвимость в браузере Google Chrome. Данная уязвимость затрагивает компонент WebAudio и классифицируется как ошибка чтения за пределами допустимого диапазона в памяти. Эксплуатация этой уязвимости может позволить злоумышленнику, действующему удаленно, вызвать отказ в обслуживании, используя специально созданную HTML-страницу. Уязвимость получила идентификатор CVE-2026-4459 в общей системе нумерации уязвимостей.
Детали уязвимости
Уязвимость имеет критический уровень опасности согласно методологии CVSS 2.0, где её базовая оценка достигает максимальных 10 баллов. По более современной шкале CVSS 3.1 её опасность оценивается как высокая с баллом 8.8. Основная угроза заключается в том, что для успешной атаки не требуется аутентификация пользователя, а взаимодействие сводится к посещению вредоносной веб-страницы. Технически ошибка относится к классу уязвимостей кода, а именно к чтению и записи за границами буфера.
Подверженными воздействию признаны последние версии Google Chrome для всех основных платформ: Windows, macOS и Linux. Конкретно, уязвимость присутствует в версиях браузера до 146.0.7680.153 для Windows и Linux, а также до 146.0.7680.154 для macOS. Помимо этого, уязвимость затрагивает дистрибутивы операционной системы Debian GNU/Linux версий 11, 12 и 13, поскольку они включают в себя уязвимые пакеты браузера.
Производитель, компания Google, уже подтвердил наличие проблемы и выпустил обновления безопасности. Соответственно, основной и рекомендуемый способ устранения уязвимости - это незамедлительное обновление браузера Google Chrome до актуальной версии. Пользователям следует убедиться, что в их системе установлена версия, начиная с 146.0.7680.153 для Windows/Linux или 146.0.7680.154 для macOS. Обновление можно выполнить через меню "Справка" → "О браузере Google Chrome", после чего система автоматически проверит и установит последние патчи.
Для пользователей Debian GNU/Linux обновления должны поступать через стандартные репозитории безопасности системы. Администраторам рекомендуется следить за обновлениями пакетов и применять их как можно скорее. В условиях, если обновление от производителя временно недоступно, ФСТЭК России рекомендует придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", утверждённых 25 декабря 2022 года, для снижения потенциальных рисков.
На текущий момент информация о наличии активных эксплойтов, то есть инструментов для эксплуатации уязвимости, уточняется. Однако учитывая критический характер уязвимости и относительную простоту потенциальной атаки, связанной с манипулированием структурами данных, задержка с установкой обновлений может быть рискованной. Атака, приводящая к отказу в обслуживании, может вызвать аварийное закрытие браузера, потерю несохранённых данных и нарушение рабочего процесса.
Стоит отметить, что уязвимости в компоненте WebAudio, отвечающем за обработку и воспроизведение звука на веб-страницах, периодически обнаруживаются исследователями. Данный случай выделяется высокой оценкой опасности, что подчёркивает серьёзность потенциальных последствий. Регулярное обновление программного обеспечения остаётся ключевой мерой кибергигиены для рядовых пользователей и корпоративных сред.
Таким образом, пользователям и системным администраторам настоятельно рекомендуется проверить версии используемого браузера и операционной системы, а затем установить все доступные обновления безопасности. Своевременная установка патчей является наиболее эффективным способом защиты от удалённых атак, использующих данную уязвимость. Дополнительную информацию можно найти в официальных блогах Google, посвящённых выпускам обновлений, и на трекере безопасности Debian.
Ссылки
- https://bdu.fstec.ru/vul/2026-03690
- https://www.cve.org/CVERecord?id=CVE-2026-4459
- https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_18.html
- https://security-tracker.debian.org/tracker/CVE-2026-4459
