Google випустила позапланове оновлення безпеки для браузера Google Chrome, яким усунуто 21 уразливість. Найнебезпечнішою серед них є нульова уразливість CVE-2026-5281, що вже активно експлуатується зловмисниками. Виробник підтвердив реальні атаки, тому встановлення патча є пріоритетним як для домашніх користувачів, так і для організацій.
CVE-2026-5281: уразливість нульового дня в компоненті WebGPU
Уразливість CVE-2026-5281 класифікована як високої критичності і пов’язана з помилкою типу use-after-free у компоненті Dawn — відкритій кросплатформеній реалізації стандарту WebGPU. WebGPU відповідає за доступ браузера до графічного процесора (GPU) для прискорення рендерингу та складних обчислень.
Помилка use-after-free означає, що програма продовжує працювати з областю пам’яті після її звільнення. У контексті браузера це створює умови, коли атакувальник може підмінити вміст цієї пам’яті та добитися виконання довільного коду. За даними Національної бази даних уразливостей (NVD), скомпрометований рендер-процес Chrome здатен виконати шкідливий код при відвідуванні спеціально підготовленої HTML‑сторінки.
Google традиційно не розкриває технічних деталей експлуатації нульових уразливостей, не називає конкретні групи зловмисників та не публікує сценарії атак. Такий підхід дає час більшості користувачів встановити оновлення та зменшує ризик масового копіювання експлойтів іншими кіберзлочинцями.
Чому уразливість WebGPU небезпечна для користувачів і бізнесу
Сучасні браузери, зокрема Google Chrome, використовують песочницю (sandbox) і розділення процесів, щоб ізолювати вкладки та обмежити наслідки компрометації. Однак уразливості на рівні низькорівневих компонентів, таких як Dawn і WebGPU, часто стають елементом ланцюжка цільових атак.
Типовий сценарій атаки через браузер
На практиці зловмисники можуть діяти поетапно:
— спочатку експлуатувати CVE-2026-5281, щоб отримати виконання коду в рендер-процесі Chrome;
— далі застосувати іншу уразливість для виходу за межі песочниці браузера;
— зрештою розширити свої привілеї в операційній системі користувача.
Після успішної атаки можливе встановлення шкідливого програмного забезпечення, перехоплення конфіденційних даних, обходи механізмів захисту endpoint‑рішень та використання зараженого хоста як точки входу до внутрішньої мережі компанії. Згідно з галузевими звітами з кібербезпеки, браузер залишається одним із найпоширеніших векторів атак, оскільки зловмисникам достатньо переконати користувача відкрити шкідливу веб‑сторінку.
Четверта уразливість нульового дня в Chrome з початку року
CVE-2026-5281 стала вже четвертою уразливістю нульового дня в Google Chrome у 2026 році. Невдовзі до цього були закриті дві критичні уразливості CVE-2026-3909 і CVE-2026-3910, які також активно використовувалися в атаках, а в лютому усунуто use-after-free в компоненті CSS (CVE-2026-2441).
Ця динаміка відображає дві ключові тенденції. По‑перше, браузери, і насамперед Chrome, залишаються пріоритетною ціллю для зловмисників через масовість використання та доступ до критично важливих даних: облікових записів, платіжної інформації, корпоративних систем. По‑друге, екосистема Chrome демонструє високий темп виявлення й усунення уразливостей: Google інвестує в програми bug bounty та розвиток внутрішніх команд безпеки, скорочуючи «вікно можливостей» для атак.
Як безпечно оновити Google Chrome та інші Chromium-браузери
Щоб захиститися від експлуатації CVE-2026-5281, користувачам і адміністраторам слід якнайшвидше встановити актуальні версії браузера. За даними Google, уразливість виправлено в таких версіях:
— Chrome 146.0.7680.177/178 для Windows та Apple macOS;
— Chrome 146.0.7680.177 для Linux.
Для ручної перевірки оновлень у Chrome потрібно відкрити меню «Ще» → «Довідка» → «Про браузер Google Chrome». Після завантаження оновлення слід натиснути кнопку «Перезапустити» (Relaunch) — без перезапуску браузера патч безпеки не набуде чинності.
Під загрозою перебувають не лише користувачі Chrome. Усі популярні Chromium-браузери — Microsoft Edge, Brave, Opera, Vivaldi — використовують подібні компоненти рендерингу та WebGPU. Власникам і адміністраторам цих рішень варто уважно відстежувати офіційні повідомлення вендорів і своєчасно встановлювати оновлення безпеки.
Додаткові заходи зниження ризиків
Окрім встановлення актуального оновлення безпеки браузера, доцільно впровадити базові практики кібергігієни:
— увімкнути автоматичні оновлення браузера й операційної системи;
— видалити застарілі та непотрібні розширення й плагіни;
— використовувати окремі профілі браузера для роботи та особистих потреб;
— у корпоративному середовищі — запровадити централізоване керування оновленнями та політику обов’язкового оновлення критичних застосунків, включно з браузером.
Нова хвиля атак на уразливості нульового дня в Google Chrome показує: браузер слід розглядати як критичний елемент цифрової інфраструктури нарівні з операційною системою та поштовим клієнтом. Чим швидше встановлюються оновлення безпеки, тим меншим є шанс успішної атаки. Регулярне оновлення Chrome та інших Chromium-браузерів, уважне ставлення до попереджень про безпеку й дотримання елементарних правил кібергігієни залишаються одними з найефективніших і водночас найдоступніших способів знизити ризики для даних користувачів і бізнесу.
