Google 1 апреля 2026 года исправила уязвимость нулевого дня в Chrome. CVE-2026-5281 (CVSS 8.8) относится к типу use-after-free (ошибка обращения к уже освобождённой памяти) в Dawn, кроссплатформенной реализации WebGPU для Chromium. Google подтвердила, что эксплойт используется в реальных атаках. Это четвёртая активно эксплуатируемая уязвимость нулевого дня в Chrome с начала года.
Обновление устраняет 21 уязвимость. Исправленные версии: Chrome 146.0.7680.177/.178 для Windows и macOS, 146.0.7680.177 для Linux. CISA 1 апреля добавила CVE-2026-5281 в каталог известных эксплуатируемых уязвимостей (KEV). Федеральные агентства США обязаны установить обновление до 15 апреля по директиве BOD 22-01.
Dawn — открытая библиотека Google, реализующая стандарт WebGPU внутри браузеров на основе Chromium. Она транслирует высокоуровневые графические и вычислительные инструкции в вызовы графического процессора для конкретной ОС: Vulkan на Linux, Metal на macOS, Direct3D на Windows.
Описание в NVD содержит важное уточнение. Ошибка позволяет «удалённому злоумышленнику, уже скомпрометировавшему процесс рендерера, выполнить произвольный код через подготовленную HTML-страницу». CVE-2026-5281, вероятнее всего, применяется как второй этап атаки: сначала отдельная уязвимость компрометирует рендерер, затем ошибка в Dawn повышает привилегии.
Обновите Chrome немедленно: Меню → Справка → О браузере Google Chrome → Перезапуск. Обновите все браузеры на основе Chromium (Edge, Brave, Opera, Vivaldi) по мере выхода обновлений от их разработчиков.
Исследователь сообщил об ошибке 10 марта 2026 года. Google ограничила доступ к записи в системе отслеживания ошибок и не раскрыла, кто стоит за эксплуатацией и на кого она направлена.
Все четыре уязвимости в графическом стеке Chrome обнаружил один исследователь. Автор, идентифицированный по хешу 86ac1f1587b71893ed2ad792cd7dde32, ранее нашёл CVE-2026-4675 (переполнение буфера в динамической памяти WebGL), CVE-2026-4676 и CVE-2026-5284 (обе use-after-free в Dawn). Четыре ошибки за два цикла обновлений указывают на систематический поиск уязвимостей в графическом стеке Chrome.
Dawn, Skia, WebGL, CSS-рендеринг, всё это C++-код, который обрабатывает недоверенный веб-контент и вручную управляет памятью GPU. Каждый новый API браузера добавляет больше такого кода. Песочница Chrome помогает, но описание NVD прямо говорит: скомпрометировавшему процесс рендерера. Это способ выхода из песочницы, а не самостоятельная атака через браузер.
— Артём Сафонов, аналитик угроз в AnonHaven
Четыре активно эксплуатируемых zero-day в Chrome за четыре месяца. В феврале 2026 года была исправлена CVE-2026-2441, use-after-free в CSSFontFeatureValuesMap.
Три из четырёх ошибок затрагивают графические или рендеринговые подсистемы.
CVE-2026-3909 была записью за пределами буфера в графической библиотеке Skia. CVE-2026-3910 затрагивала V8, движок JavaScript и WebAssembly в Chrome. В 2025 году Google исправила восемь zero-day в Chrome, эксплуатировавшихся в реальных атаках.
Читайте также: Новый модуль Roadk1ll: как хакеры превращают один взломанный сервер в точку входа во всю сеть
Dawn входит в проект Chromium с открытым кодом. Все браузеры на базе Chromium уязвимы до тех пор, пока их разработчики не выпустят обновления. Vivaldi уже опубликовал исправление.
Администраторам корпоративных сред необходимо убедиться, что групповые политики не блокируют автоматическое обновление Chrome. Телеметрические сведения на рабочих станциях следует проверить на нетипичные сбои браузера, необычную активность GPU и подозрительные исходящие соединения.
Не считая zero-day, Chrome 146 в том же выпуске устранил ещё 20 уязвимостей. Исправлены ошибки use-after-free в CSS, Web MIDI, PDF и Navigation. Переполнение буфера в динамической памяти устранено в GPU и ANGLE. Исправлена ошибка повреждения объектов V8. Большинство из 20 получили оценку «высокая».
WebGPU — относительно молодой API. Chrome включил его по умолчанию в версии 113 в мае 2023 года. API даёт прямой доступ к вычислениям и рендерингу на GPU, требуя ручного управления памятью на C++. Кодовая база Dawn растёт с каждым обновлением спецификации, увеличивая число потенциально уязвимых участков кода.
Один исследователь нашёл в Dawn сразу несколько ошибок. Новые исправления в ближайших обновлениях вероятны.
Три ошибки Dawn за два обновления, один исследователь. Это не случайность. Кто-то систематически проходит по управлению памятью Dawn. Ожидаю новые исправления Dawn в следующей стабильной версии.
— Артём Сафонов, аналитик угроз в AnonHaven
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
