Google в срочном порядке выпустила обновление безопасности для своего браузера Chrome, устранив в общей сложности 21 уязвимость. Среди них — критическая уязвимость нулевого дня, зарегистрированная как CVE-2026-5281, которая уже активно эксплуатируется злоумышленниками в реальных условиях. Эта уязвимость высокой степени серьезности представляет собой ошибку типа "use-after-free" (использование после освобождения) в памяти компонента Dawn — кроссплатформенной реализации с открытым исходным кодом стандарта WebGPU, который обеспечивает низкоуровневый высокопроизводительный доступ к графике и вычислениям в браузере. Ошибки use-after-free возникают, когда программа продолжает использовать указатель на область памяти после ее освобождения, что может привести к сбоям, повреждению данных или, что критически важно, позволить злоумышленнику выполнить произвольный код на целевой системе. Группа анализа угроз (TAG) Google подтвердила активную эксплуатацию, что и послужило причиной внепланового выпуска патча.
Эксплуатация CVE-2026-5281 представляет собой серьезную угрозу, поскольку успешные атаки могут привести к полному компрометированию системы. Злоумышленник может создать вредоносную веб-страницу, которая при посещении пользователем, использующим непропатченную версию Chrome, активирует уязвимость. Это может позволить атакующему вырваться из песочницы браузера, выполнить код в базовой операционной системе и потенциально установить вредоносное ПО, похитить конфиденциальные данные или обеспечить постоянное присутствие на машине жертвы. Нацеливание на Dawn, ключевой компонент для графики следующего поколения в вебе, указывает на то, что злоумышленники исследуют новые, сложные подсистемы браузера, которые, возможно, подверглись менее тщательной проверке безопасности, чем давно устоявшиеся компоненты, такие как движок JavaScript V8.
В ответ на активную угрозу Google выпустила версии 130.0.6723.116/.117 для Windows и macOS и версию 130.0.6723.116 для Linux. Обновление распространяется через встроенный в браузер механизм обновлений. Пользователям настоятельно рекомендуется немедленно перезапустить браузер для применения патча. Администраторам корпоративных сетей следует обеспечить безотлагательное развертывание обновления в управляемых средах. Это вторая уязвимость нулевого дня в Chrome, исправленная в этом году после CVE-2026-4910 в январе, что подчеркивает сохраняющуюся тенденцию, когда сложные акторы используют уязвимости браузеров для получения первоначального доступа в рамках более широких цепочек атак.
Помимо уязвимости нулевого дня, обновление стабильного канала исправляет еще 20 проблем безопасности, выявленных в результате внутренних аудитов и внешних отчетов. Google придерживается своей стандартной политики ограничения деталей об остальных уязвимостях до тех пор, пока большинство пользователей не обновятся, чтобы предотвратить дальнейшую эксплуатацию. Этот инцидент подчеркивает критическую важность оперативных обновлений программного обеспечения в кибергигиене. Для организаций он подтверждает необходимость наличия надежных стратегий управления исправлениями и подходов многоуровневой защиты, включая сегментацию сети и обнаружение на конечных точках, для снижения рисков, когда эксплойты для уязвимостей нулевого дня появляются до выхода патчей.
