Google випустила позапланове оновлення безпеки Google Chrome, яке усуває одразу дві zero-day уразливості, що вже активно експлуатуються зловмисниками. Йдеться про помилки CVE-2026-3909 та CVE-2026-3910, які зачіпають ключові компоненти браузера — графічну бібліотеку Skia та JavaScript-рушій V8. Наявність реальних експлойтів під ці баги суттєво підвищує ризики як для кінцевих користувачів, так і для корпоративних середовищ.
Які версії Google Chrome отримали виправлення
Виправлення включені до релізів Chrome 146.0.7680.75 для Windows і Linux та 146.0.7680.76 для macOS. Оновлення розповсюджується поетапно й стане доступним більшості користувачів протягом найближчих днів і тижнів. Поки розгортання не завершено, Google традиційно обмежує технічні деталі щодо уразливостей і методів їх експлуатації, аби не спростити роботу потенційним атакувальникам.
Технічний аналіз уразливостей CVE-2026-3909 та CVE-2026-3910
CVE-2026-3909: out-of-bounds запис у графічній бібліотеці Skia
Уразливість CVE-2026-3909 класифікується як out-of-bounds write у бібліотеці Skia — це 2D-графічний рушій, який Chrome використовує для відображення веб-сторінок та елементів інтерфейсу. Out-of-bounds помилки виникають, коли програма записує дані за межами виділеної області пам’яті. У кращому випадку це закінчується падінням браузера, але за умови точного контролю над пам’яттю експлойт може призвести до виконання довільного коду у контексті процесу Chrome.
Для атакувальника це створює можливість обійти частину захисних механізмів, посилити інші ланки експлуатаційного ланцюжка (наприклад, у поєднанні з уразливістю підвищення привілеїв в ОС) та в підсумку отримати стійкий доступ до системи. Саме тому уразливості такого класу в компонентах рендерингу розглядаються як високоризикові.
CVE-2026-3910: помилка реалізації в JavaScript-рушії V8
Друга проблема, CVE-2026-3910, описана як помилка реалізації в рушії V8, який відповідає за виконання JavaScript і WebAssembly у Chrome. Уразливості в V8 традиційно мають високу цінність для зловмисників, оскільки дають змогу атакувати користувача через просте відкриття шкідливої або скомпрометованої веб-сторінки.
На практиці для експлуатації подібних zero-day уразливостей у Chrome часто достатньо спрямувати жертву на спеціально підготовлений ресурс. Такі помилки активно використовуються в цільових атаках, кампаніях шпигунського ПЗ та для обходу механізмів ізоляції браузера, особливо якщо їх комбінують з іншими багами в операційній системі чи драйверах.
Чому zero-day уразливості в Chrome є особливо небезпечними
Chrome залишається найпоширенішим браузером у світі, тож будь-яка zero-day уразливість у Google Chrome одразу стає привабливою ціллю для кіберзлочинних груп і операторів шпигунських платформ. «Нульовий день» означає, що на момент початку атак у користувачів ще немає встановленого патча, а в організацій — часу на оцінку ризиків.
Подібні уразливості часто стають частиною складних багатоступеневих ланцюжків: від первинної компрометації через браузер до закріплення в системі та викрадення конфіденційних даних. Вони становлять особливу загрозу для секторів із підвищеними вимогами до безпеки — від держструктур та фінансових організацій до об’єктів критичної інфраструктури.
Динаміка zero-day в Chrome: 2025 рік і початок 2026-го
Поточні виправлення стали вже другою та третьою zero-day уразливостями, закритими в Chrome у 2026 році. Раніше Google усунула баг CVE-2026-2441 у компоненті CSSFontFeatureValuesMap, про що повідомлялося в лютому. Для порівняння, протягом усього 2025 року компанія ліквідувала вісім уразливостей нульового дня у своєму браузері.
Велику частину цих проблем виявила команда Google Threat Analysis Group (TAG), що спеціалізується на дослідженні цільових атак та комерційного шпигунського ПЗ. Така динаміка підтверджує, що Chrome залишається однією з ключових мішеней як для кримінальних угруповань, так і для кіберрозвідок.
Хто має оновити Google Chrome в першу чергу
У пріоритеті — організації, де Google Chrome використовується як основний корпоративний браузер, а також користувачі, які працюють із чутливими даними: фінансовий сектор, державні органи, медицина, ІТ-компанії, оператори критичної інфраструктури. У керованих інфраструктурах (AD, MDM, системи централізованих оновлень) доцільно прискорити розгортання версій 146.0.7680.75/76, оминаючи тривалі «вікна тестування», що іноді застосовуються для перевірки сумісності програм.
Практичні рекомендації з кібербезпеки для користувачів і бізнесу
Рядовим користувачам варто негайно перевірити версію браузера через меню «Довідка → Про браузер Google Chrome» і вручну запустити оновлення, якщо воно ще не встановлене. Рекомендується тримати автоматичні оновлення Chrome увімкненими та не користуватися застарілими версіями браузера, навіть якщо вони здаються зручнішими чи «звичними».
Адміністраторам корпоративних середовищ слід централізовано контролювати версії браузерів, обмежити використання портативних або «альтернативних» збірок без підтримки оновлень, а також впроваджувати політику обмеженого доступу до веб-ресурсів для критично важливих робочих станцій. У поєднанні з сучасними засобами захисту (EDR-рішення, фільтрація трафіку, ізоляція браузерних сесій) це суттєво знижує шанси успішної експлуатації як відомих, так і ще невідомих уразливостей.
Нові zero-day уразливості в Chrome наочно демонструють, що навіть технологічно зрілі продукти не застраховані від критичних помилок. Регулярне оновлення браузера, обережне ставлення до посилань та вкладень, а також продумана політика безпеки в організаціях залишаються ключовими інструментами захисту. Чим швидше користувачі та компанії встановлять екстрені патчі, тим менше вікно можливостей матимуть зловмисники для проведення успішних атак.
