Google закрыла уже четвёртый zero-day в Chrome с начала 2026 года

Google выпустила внеочередное обновление Chrome, чтобы закрыть уязвимость CVE-2026-5281, которую компания уже считает эксплуатируемой в реальных атаках. Это уже четвёртый zero-day в Chrome, исправленный с начала 2026 года.

Проблема затрагивает компонент Dawn — это реализация WebGPU в Chromium, то есть часть браузерного стека, связанная с современной графикой и вычислениями через GPU. В бюллетене Google уязвимость описана как use-after-free в Dawn. Такой класс ошибок возникает, когда программа продолжает обращаться к уже освобождённой области памяти. На практике это может приводить к сбоям, повреждению данных и, в некоторых сценариях, к выполнению чужого кода.

Google обновила стабильную ветку Chrome для Windows и macOS до 146.0.7680.177/178, а для Linux — до 146.0.7680.177. Компания отдельно предупредила, что развёртывание займёт несколько дней или недель, поэтому обновление может появиться у пользователей не одновременно. При этом при ручной проверке обновление уже было доступно.

В официальной заметке Google не раскрывает деталей атак и не объясняет, кто именно использовал эксплойт. Но сообщает, что ей известно о существовании эксплойта для CVE-2026-5281 вне лаборатории или тестовой среды. Одновременно Google традиционно ограничила доступ к дополнительным техническим деталям, чтобы большинство пользователей успело обновиться раньше, чем информацию начнут массово использовать другие злоумышленники.

Первым zero-day Chrome в 2026 году стала CVE-2026-2441, которую Google закрыла в феврале. Затем в марте компания устранила ещё две активно эксплуатируемые уязвимости — CVE-2026-3909 и CVE-2026-3910. Новая CVE-2026-5281 стала уже четвёртой такой уязвимостью за год.

В 2025 году Google исправила восемь zero-day-уязвимостей Chrome, которые уже использовались в реальных атаках. Браузер остаётся одной из самых ценных целей для атак, потому что через него злоумышленник получает прямой путь к данным пользователя, веб-сеансам и корпоративным системам.