Google выпустила обновление безопасности для Chrome, устраняющее 74 уязвимости, включая критически опасную CVE-2026-11645 (CVSS 8.8) в JavaScript-движке V8, которая уже эксплуатируется злоумышленниками. Уязвимость позволяет удалённому атакующему выполнить произвольный код внутри песочницы браузера через специально сформированную HTML-страницу. Всем пользователям Chrome и браузеров на базе Chromium необходимо немедленно обновиться до версии 149.0.7827.102/.103.
Технический анализ CVE-2026-11645
Согласно описанию в базе NVD, уязвимость представляет собой ошибку выхода за границы памяти (out-of-bounds read and write) в V8 — движке JavaScript и WebAssembly, используемом в Google Chrome. Дефект затрагивает все версии Chrome до 149.0.7827.103.
Вектор атаки — сетевой: для эксплуатации достаточно заставить жертву открыть вредоносную HTML-страницу. Это может быть реализовано через фишинговую ссылку, вредоносную рекламу или компрометацию легитимного веб-ресурса. Ошибки типа out-of-bounds read/write в V8 особенно опасны, поскольку движок обрабатывает JavaScript-код на каждой посещаемой странице, а возможность одновременного чтения и записи за пределами выделенного буфера открывает путь к полноценному выполнению произвольного кода.
Важно учитывать, что, хотя NVD указывает на выполнение кода «внутри песочницы» (inside a sandbox), это не означает полной безопасности. Песочница Chrome — серьёзный барьер, однако в связке с дополнительной уязвимостью для выхода из песочницы (sandbox escape) атакующий может получить полный контроль над системой. Google, как указано в официальном бюллетене безопасности, подтвердила существование эксплойта в дикой природе, но воздержалась от публикации деталей до массового обновления пользователей.
Уязвимость была обнаружена исследователем под псевдонимом «303f06e3» и, по данным Google, сообщена 27 апреля 2026 года. За ответственное раскрытие исследователь, как сообщается, получил вознаграждение в размере $55 000 — сумма, отражающая критичность находки и факт активной эксплуатации.
Пятый zero-day Chrome в 2026 году
CVE-2026-11645 стала пятой уязвимостью нулевого дня в Chrome, устранённой Google с начала 2026 года. Ранее были исправлены:
Такая динамика — пять эксплуатируемых zero-day за первое полугодие — указывает на устойчивый интерес атакующих к браузерным уязвимостям как вектору первоначального доступа. Движок V8 остаётся приоритетной целью: его сложная архитектура JIT-компиляции создаёт обширную поверхность атаки, а повсеместное распространение Chrome делает каждую такую уязвимость потенциально массовой.
Оценка воздействия
Масштаб угрозы определяется доминирующей долей Chrome на рынке браузеров. Под угрозой находятся не только пользователи Chrome, но и все, кто работает с браузерами на базе Chromium: Microsoft Edge, Brave, Opera, Vivaldi и другие. Для этих браузеров соответствующие патчи могут быть выпущены с задержкой, что создаёт окно уязвимости.
Наибольшему риску подвержены корпоративные среды, где обновление браузеров может быть задержано из-за политик управления конфигурациями, а также пользователи, не включившие автоматическое обновление. Учитывая, что для эксплуатации достаточно перехода по ссылке, уязвимость идеально подходит для целевых фишинговых атак на сотрудников организаций.
Рекомендации по устранению
Обновление следует применить незамедлительно — эксплуатация уже подтверждена. Целевые версии:
- Windows и macOS: Chrome 149.0.7827.102 или 149.0.7827.103
- Linux: Chrome 149.0.7827.102
Для проверки и обновления: откройте меню Chrome → Справка → О браузере Google Chrome. Браузер автоматически загрузит обновление, после чего потребуется перезапуск. В корпоративных средах рекомендуется принудительно распространить обновление через системы управления конфигурациями и временно ограничить доступ к внешним веб-ресурсам для систем, где обновление невозможно применить оперативно.
Пользователям браузеров на базе Chromium следует отслеживать выпуск обновлений от соответствующих вендоров и применять их сразу после появления.
Учитывая подтверждённую активную эксплуатацию CVE-2026-11645 и тривиальный вектор атаки через вредоносную веб-страницу, обновление Chrome до версии 149.0.7827.102/.103 должно быть выполнено в течение ближайших часов, а не дней. Для организаций, управляющих парком рабочих станций, приоритет этого патча — максимальный: проверьте охват обновления через консоль управления и убедитесь, что ни одна система не осталась на уязвимой версии.
