Google выпустила экстренное обновление Chrome из-за двух уязвимостей нулевого дня (CVE-2026-3909 в библиотеке Skia и CVE-2026-3910 в движке V8), доводя общее число активно эксплуатируемых багов браузера в 2026 году до трех. — theregister.com
Компания Google выпустила экстренное обновление Chrome для устранения двух ранее неизвестных уязвимостей, которые злоумышленники уже использовали до выхода исправлений.
Эти ошибки, отслеживаемые как CVE-2026-3909 и CVE-2026-3910, затрагивают основные компоненты браузера и вызвали стандартное предупреждение от Google о том, что технические подробности будут оставаться засекреченными до тех пор, пока большинство пользователей не обновятся.
“Доступ к деталям ошибок и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление. Мы также сохраним ограничения, если ошибка содержится в сторонней библиотеке, от которой зависят другие проекты, но которые еще не исправили ее”, — сообщила компания.
CVE-2026-3909 — это ошибка записи за пределами выделенной области памяти (out-of-bounds write) в Skia, библиотеке графики, которую Chrome использует для отрисовки веб-контента и элементов своего пользовательского интерфейса. Подобные ошибки повреждения памяти иногда могут быть использованы злоумышленниками для аварийного завершения работы приложений или выполнения собственного кода в случае успешной эксплуатации.
Вторая ошибка, CVE-2026-3910, описывается как проблема некорректной реализации в движке V8 JavaScript и WebAssembly — части Chrome, отвечающей за выполнение скриптов на веб-страницах. Уязвимости V8 особенно ценны для злоумышленников, поскольку их можно потенциально активировать, заставив жертву посетить вредоносный или скомпрометированный сайт.
Google заявляет, что ей известно об эксплуатации обеих уязвимостей, хотя подробности о том, как используются эти ошибки или кто может стоять за атаками, не разглашаются. Такое молчание вполне типично для уязвимостей нулевого дня: поставщики склонны скрывать техническую информацию, чтобы не предоставить разработчикам эксплойтов чертеж до широкого распространения патчей.
Исправления включены в последнее стабильное обновление Chrome для Windows, macOS и Linux, которое должно быть развернуто автоматически в ближайшие дни и недели. Пользователи также могут инициировать обновление вручную через меню настроек Chrome и должны будут перезапустить браузер для завершения установки.
Google сообщает, что обе ошибки были обнаружены собственными силами, что не всегда бывает так. На этой неделе компания также сообщила, что в 2025 году выплатила 17 миллионов долларов 747 исследователям безопасности в рамках своей Программы вознаграждений за уязвимости.
Эти исправления выходят примерно через месяц после того, как Google устранила другую активно эксплуатируемую уязвимость нулевого дня в Chrome, CVE-2026-2441, — ошибку использования после освобождения памяти (use-after-free) высокой степени критичности в механизме обработки CSS браузера, которая могла позволить вредоносной веб-странице выполнить код внутри песочницы браузера.
С учетом того, что еще две уязвимости нулевого дня подверглись атакам, счет активных эксплойтов в Chrome в 2026 году уже растет. Если ваш браузер настойчиво просит вас перезагрузиться для установки обновления, возможно, сейчас самое время прислушаться. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page