Google выпустила экстренное обновление Chrome 13 марта 2026 года. Патч устраняет два 0-day (уязвимости нулевого дня) с оценкой CVSS 8.8, которые уже применялись в реальных атаках. Обновлённые версии для Windows и Linux получили номер 146.0.7680.75, для macOS 146.0.7680.76.
CVE-2026-3909 затрагивает Skia, библиотеку 2D-графики с открытым исходным кодом. Skia отвечает за отрисовку всего визуального содержимого Chrome, от веб-страниц до элементов интерфейса. Ошибка типа out-of-bounds write (запись за границы выделенной памяти) позволяет злоумышленнику повредить память процесса и выполнить произвольный код. Для атаки достаточно заманить пользователя на подготовленную HTML-страницу.
Читайте также: Хакер обманом заставил Sony навсегда заблокировать крупнейшего коллекционера трофеев PlayStation
CVE-2026-3910 найдена в V8, движке JavaScript и WebAssembly. Ошибки в V8 позволяют запустить вредоносный код внутри песочницы Chrome. В связке с другими уязвимостями злоумышленники могут выйти за пределы песочницы и получить контроль над операционной системой.
Обе уязвимости обнаружены внутри Google 10 марта. Патч вышел через 48 часов. Компания подтвердила, что эксплойты для обеих CVE-2026-3909 и CVE-2026-3910 существуют и применяются в реальных атаках, но не раскрыла, кто стоит за атаками, насколько они распространены и кто пострадал. Детали скрыты, чтобы другие злоумышленники не воспроизвели эксплойты до массовой установки патча.
Уязвимости в Chrome, найденные самой Google, часто оказываются на вооружении коммерческих производителей шпионского ПО. Группа Google TAG (Threat Analysis Group) специализируется на отслеживании государственных заказчиков, которые покупают или разрабатывают 0-day эксплойты для целевой слежки. В 2025 году TAG раскрыла большинство из восьми 0-day, закрытых в Chrome.
Читайте также: Неисправимая уязвимость в чипах MediaTek позволяет извлечь PIN и seed-фразы за 45 секунд
Мартовские уязвимости стали вторым и третьим 0-day в Chrome за 2026 год. Первый, CVE-2026-2441 (CVSS 8.8), Google закрыла в середине февраля. Та уязвимость относилась к типу use-after-free (использование памяти после освобождения) в компоненте CSSFontFeatureValuesMap и тоже эксплуатировалась через подготовленную HTML-страницу. Патч вошёл в Chrome 145.0.7632.75.
Обе уязвимости нашли внутренние команды Google, а не сторонние исследователи через программу вознаграждений VRP. По данным BleepingComputer, в 2025 году Google выплатила более $17 млн 747 исследователям через VRP. Chrome для Android получил отдельное обновление в версии 146.0.76380.115.
Обновление доступно для ручной установки. В Chrome нужно открыть меню (три точки в правом верхнем углу), перейти в «Справка», затем «О браузере Google Chrome». Браузер скачает обновление и применит его после перезапуска. Пользователям Chromium-браузеров (Microsoft Edge, Brave, Opera, Vivaldi) стоит отслеживать аналогичные патчи от своих вендоров.
Обе уязвимости уже эксплуатируются в реальных атаках. Обновите Chrome до версии 146.0.7680.75/76 через меню «Справка» → «О браузере Google Chrome». Пользователям Edge, Brave, Opera и Vivaldi стоит проверить обновления от своих вендоров.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
