Google выпустила внеочередное обновление безопасности для браузера Chrome, устраняющее 21 уязвимость, среди которых особо выделяется нуль-дневная уязвимость CVE-2026-5281, уже активно эксплуатируемая злоумышленниками. Производитель подтвердил наличие реальных атак, что делает обновление критически важным как для домашних пользователей, так и для корпоративных сред.
Что представляет собой уязвимость CVE-2026-5281 в Chrome
Проблема CVE-2026-5281 классифицируется как уязвимость высокой степени опасности и связана с ошибкой типа use-after-free в компоненте Dawn — открытой кроссплатформенной реализации стандарта WebGPU, отвечающего за доступ браузера к графическому процессору (GPU) для ускорения рендеринга и сложных вычислений.
Суть ошибки use-after-free заключается в том, что программа продолжает использовать область памяти после её освобождения. В контексте браузера это может позволить атакующему подменить данные в памяти и добиться выполнения произвольного кода. Как отмечает Национальная база данных уязвимостей NVD, скомпрометированный рендер-процесс Chrome способен выполнить любой код при посещении специально подготовленной HTML‑страницы.
Google не раскрывает детали эксплуатации CVE-2026-5281, не называет конкретных групп угроз и не публикует сценарии атак. Подобная практика — стандартный подход в индустрии: сокращение объёма технических деталей на старте позволяет выиграть время на установку патча большинством пользователей и снижает риск массового копирования эксплойта другими злоумышленниками.
Почему уязвимость в WebGPU опасна для пользователей и компаний
Современные браузеры, включая Google Chrome, используют песочницу (sandbox) и разделение процессов, чтобы изолировать вкладки и снизить последствия взлома. Однако use-after-free в таких низкоуровневых компонентах, как Dawn и WebGPU, часто становится частью цепочки атак, которая позволяет:
— выполнить код в рендер-процессе;
— затем воспользоваться другими уязвимостями для выхода из песочницы;
— получить более широкие привилегии в системе пользователя.
В результате злоумышленник может, к примеру, установить вредоносное ПО, перехватывать конфиденциальные данные, обходить механизмы защиты endpoint‑решений или использовать скомпрометированную машину как точку входа во внутреннюю сеть компании. Исторически атаки через браузер остаются одним из самых популярных векторов вторжения, поскольку достаточно лишь убедить пользователя открыть вредоносную страницу.
Четвёртый нулевой день в Chrome с начала года
Уязвимость CVE-2026-5281 стала четвёртой нуль-дневной ошибкой в Chrome, исправленной Google с начала года. Незадолго до этого были закрыты две другие уязвимости высокой опасности — CVE-2026-3909 и CVE-2026-3910, также использовавшиеся в реальных атаках, а в феврале был исправлен активно эксплуатируемый use-after-free в компоненте CSS (CVE-2026-2441).
Такая динамика подчёркивает две тенденции. Во‑первых, браузеры, и в частности Google Chrome, остаются одной из ключевых целей для атакующих из‑за их повсеместного распространения и доступа к критически важным данным пользователей. Во‑вторых, экосистема Chrome демонстрирует высокий темп обнаружения и устранения уязвимостей: Google активно инвестирует в программы bug bounty и работу внутренних команд безопасности, что позволяет достаточно оперативно реагировать на новые угрозы.
Рекомендации по обновлению Chrome и Chromium-браузеров
Для защиты от эксплуатации CVE-2026-5281 пользователям и администраторам рекомендуется как можно скорее установить актуальные версии браузера. По данным Google, уязвимость устранена в версиях:
— Chrome 146.0.7680.177/178 для Windows и Apple macOS;
— Chrome 146.0.7680.177 для Linux.
Чтобы вручную запустить проверку и установку обновлений, необходимо в Chrome открыть меню «Ещё» → «Справка» → «О браузере Google Chrome». После завершения загрузки обновления требуется нажать кнопку «Перезапустить» (Relaunch). Без перезапуска браузера установленный патч не вступит в силу.
Важно учитывать, что под угрозой находятся не только пользователи Chrome. Все популярные браузеры на базе Chromium, включая Microsoft Edge, Brave, Opera и Vivaldi, используют сходные компоненты рендеринга и WebGPU. Владельцам и администраторам этих браузеров следует отслеживать выход обновлений от соответствующих вендоров и своевременно их устанавливать.
Практические меры по снижению рисков
Помимо установки актуального обновления безопасности для Chrome и других Chromium-браузеров, целесообразно применять дополнительные меры защиты:
— включить автоматические обновления браузера и операционной системы;
— минимизировать использование устаревших расширений и плагинов;
— использовать отдельные профили браузера для работы и развлечений, снижая риск смешения контекстов;
— в корпоративной среде — внедрить централизованное управление обновлениями и политику обязательного обновления критических приложений, включая браузер.
Новая волна атак на уязвимости нулевого дня в Chrome ещё раз подчёркивает: браузер — это критически важный элемент современной цифровой инфраструктуры, и его защита должна рассматриваться наравне с защитой операционной системы и почтового клиента. Чем быстрее устанавливаются патчи безопасности, тем меньше окно возможностей для злоумышленников. Регулярное обновление Chrome и других Chromium-браузеров, внимание к уведомлениям о безопасности и базовая кибергигиена остаются одними из самых эффективных и доступных способов снизить риск успешной атаки.
