The Premise News
Технологии

Google экстренно закрывает пятую уязвимость нулевого дня в Chrome за 2026 год

David Wendel Batista
Google экстренно закрывает пятую уязвимость нулевого дня в Chrome за 2026 год PHOTO BY The Premise News

Google выпустила экстренное обновление безопасности для браузера Chrome, закрывающее уязвимость нулевого дня высокой степени серьёзности. Это уже пятая активно эксплуатируемая брешь, которую компания устранила с начала 2026 года. Уязвимость, зарегистрированная как CVE-2026-11645, обнаружена в движке V8 — ключевом компоненте Chrome, обрабатывающем JavaScript и WebAssembly. Согласно опубликованному в понедельник бюллетеню безопасности Google, эксплойт, нацеленный на эту уязвимость, уже был замечен «в дикой природе» — то есть реально используется злоумышленниками.

Экстренное обновление охватывает все основные платформы

Google начала распространять исправленные версии Chrome на всех основных десктопных платформах — Windows, macOS и Linux — сразу после обнаружения уязвимости анонимным исследователем безопасности. Обновлённые сборки включают Chrome 149.0.7827.102 для Windows и Linux, а также Chrome 149.0.7827.103 для macOS. Хотя компания отметила, что полное развёртывание через стандартные каналы обновления может занять несколько дней или даже недель, исследователи безопасности подтвердили, что обновление стало доступно немедленно через ручной механизм обновления Chrome. Пользователи могут запустить процесс, перейдя в меню настроек браузера и выбрав раздел «О браузере Google Chrome», который автоматически проверяет наличие новых версий.

Уязвимость движка V8 открывает путь к эксплуатации памяти

Патч устраняет брешь, представляющую особую опасность из-за своей природы: это ошибка чтения и записи за пределами выделенной области памяти (out-of-bounds read/write) в движке V8. Подобные слабые места возникают, когда программа некорректно обращается к областям памяти за пределами выделенного буфера, что приводит к повреждению памяти, утечке информации, сбоям приложений и потенциально — к произвольному выполнению кода. Google предупредила, что злоумышленники могут эксплуатировать CVE-2026-11645 через специально созданный HTML-контент, размещённый на вредоносных или скомпрометированных сайтах. Простое посещение такой страницы может активировать уязвимость даже внутри изолированной среды (sandbox) Chrome — критически важного защитного уровня, призванного изолировать веб-контент от операционной системы.

Уязвимости повреждения памяти в браузерных движках остаются одними из самых ценных типов программных ошибок, поскольку они часто служат первой ступенью более масштабной атаки. Согласно доступной технической информации, успешная эксплуатация CVE-2026-11645 может позволить злоумышленникам:

  • читать содержимое памяти за пределами установленных границ;
  • повреждать структуры кучи (heap memory);
  • утекать конфиденциальные данные, хранящиеся в процессах браузера;
  • вызывать сбои и нестабильность браузера;
  • обходить механизмы защиты памяти;
  • облегчать дальнейшие атаки на выполнение кода при комбинировании с другими уязвимостями.

Ошибки доступа к памяти за пределами границ такого типа часто позволяют атакующим обойти такие средства защиты, как рандомизация адресного пространства (ASLR) — механизм безопасности, призванный существенно усложнить эксплуатацию. Раскрывая информацию о расположении памяти или повреждая критические структуры, злоумышленники могут повысить надёжность последующих этапов атаки, потенциально достигая полного компрометации системы при наличии дополнительных уязвимостей.

Google скрывает детали, чтобы предотвратить копирование эксплойтов

Как это обычно делается при устранении активно эксплуатируемых уязвимостей, Google не раскрыла подробную техническую информацию об атаках. Компания заявила, что доступ к деталям ошибки, коду эксплойта и сопутствующей документации будет ограничен до тех пор, пока большинство пользователей Chrome не установят обновление безопасности. Такая политика призвана помешать другим злоумышленникам разработать копирующие эксплойты до того, как уязвимые системы будут обновлены. Google также указала, что ограничения на раскрытие могут сохраняться, если сторонние программные проекты, использующие аналогичный код, ещё не реализовали соответствующие исправления. Компания не раскрыла, кто обнаружил уязвимость, кто может её эксплуатировать или связаны ли атаки с финансово мотивированными киберпреступниками, государственными субъектами или коммерческими поставщиками программ-шпионов.

Браузерные уязвимости нулевого дня: постоянная угроза

Последний инцидент подчёркивает общую тенденцию в ландшафте кибербезопасности: веб-браузеры стали одними из самых атакуемых программ как в корпоративной, так и в потребительской среде. Поскольку браузеры служат шлюзом к онлайн-приложениям, облачным сервисам, электронной почте, банковским системам и корпоративным сетям, успешная эксплуатация браузера может предоставить атакующим плацдарм для проникновения в гораздо более крупные среды. Специалисты по threat intelligence неоднократно наблюдали, как группы продвинутых постоянных угроз (APT) используют уязвимости браузеров для компрометации журналистов, правительственных чиновников, политических диссидентов и корпоративных руководителей. В последние годы эксплойты нулевого клика и одного клика стали краеугольным камнем операций коммерческих программ-шпионов: разработчики создают сложные цепочки атак, способные скомпрометировать устройства через, казалось бы, безобидный веб-контент.

Пятая уязвимость нулевого дня Chrome в 2026 году

CVE-2026-11645 — пятая активно эксплуатируемая уязвимость Chrome, устранённая Google в этом году. Компания уже отреагировала на ряд значительных проблем безопасности в первой половине 2026 года, в том числе:

  • CVE-2026-2441: исправлена в феврале; затрагивала ошибки инвалидации итераторов, влияющие на CSSFontFeatureValuesMap — компонент, отвечающий за обработку значений шрифтовых функций CSS в архитектуре рендеринга Chrome.
  • CVE-2026-3909: раскрыта в марте; ошибка записи за пределами границ в графической библиотеке Skia — широко используемом движке с открытым исходным кодом, применяемом во всей экосистеме Chromium.
  • CVE-2026-3910: также исправлена в марте; слабость реализации в движке V8 для JavaScript и WebAssembly, позволяющая злоумышленникам манипулировать поведением браузера при определённых условиях.
  • CVE-2026-5281: устранена в апреле; это ошибка использования после освобождения (use-after-free) в Dawn — реализации Google стандарта WebGPU, обеспечивающей расширенную графическую обработку и аппаратное ускорение в современных браузерах.

Уязвимости безопасности памяти — включая ошибки use-after-free, чтение и запись за пределами границ — продолжают доминировать в активности эксплойтов браузеров, несмотря на постоянные усилия разработчиков по укреплению защиты. Повторяющееся появление таких ошибок возобновило призывы к более широкому внедрению безопасных по памяти языков программирования, таких как Rust, в разработку браузеров. Google, Microsoft и другие технологические компании всё активнее подчёркивают важность инициатив по безопасности памяти после того, как исследования показали, что подавляющее большинство критических уязвимостей программного обеспечения проистекают из ошибок управления памятью. Хотя архитектура Chrome уже включает многочисленные средства смягчения — включая изоляцию сайтов, песочницу, системы обнаружения эксплойтов и усиленное разделение процессов — эксперты по безопасности утверждают, что сокращение кода, небезопасного по памяти, остаётся одной из наиболее эффективных долгосрочных защит от эксплуатации браузеров.

Редакционная позиция The Premise News: Экстренный патч для CVE-2026-11645 — это не просто очередное обновление безопасности. Это отрезвляющее напоминание о том, что разработчики браузеров находятся в бесконечной гонке вооружений с атакующими, которые теперь превратили уязвимости нулевого дня в товар. Пять эксплойтов Chrome за 2026 год — частота активной эксплуатации становится определяющей характеристикой текущего ландшафта угроз. На кону — безопасность практически каждого пользователя интернета, ведь браузер остаётся главным интерфейсом для работы, финансов, общения и госуправления. Ключевое противоречие кроется между скоростью атак и неизбежно медленным развёртыванием патчей, что оставляет большие группы пользователей уязвимыми на дни. Читателям стоит следить, ускорят ли Google и другие разработчики внедрение безопасных по памяти языков, таких как Rust, и начнут ли злоумышленники атаковать сам процесс обновления. Примечательно, что собственная группа анализа угроз Google часто выявляет такие кампании, что ставит компанию одновременно в положение защитника и основного источника разведданных — уникальная позиция, подчёркивающая масштаб вызова. В конечном счёте эта история не об одном баге, а о структурных уязвимостях цифрового мира, построенного на сложном, небезопасном по памяти коде, который атакующие будут эксплуатировать, пока отрасль кардинально не изменит свой подход.

Что вы думаете?