Google выпустила внеплановое обновление безопасности для браузера Chrome, устраняющее сразу две уязвимости нулевого дня, которые уже активно эксплуатируются в атаках. Речь идет о проблемах CVE-2026-3909 и CVE-2026-3910, затрагивающих ключевые компоненты браузера — графическую библиотеку Skia и движок JavaScript V8. По данным компании, для обеих ошибок существуют рабочие эксплойты, что существенно повышает риск для конечных пользователей и корпоративных сетей.
Какие версии Chrome получили исправления
Патчи включены в релизы Chrome 146.0.7680.75 для Windows и Linux и 146.0.7680.76 для macOS. Обновление уже начало постепенно распространяться среди пользователей и, по заверениям Google, будет доступно широкой аудитории в ближайшие дни и недели. До завершения этого процесса компания традиционно воздерживается от публикации детальных технических данных об уязвимостях и сценариях их эксплуатации, чтобы не упростить задачу потенциальным злоумышленникам.
Технический разбор уязвимостей CVE-2026-3909 и CVE-2026-3910
CVE-2026-3909: out-of-bounds запись в Skia
Первая уязвимость, CVE-2026-3909, связана с out-of-bounds записью в Skia — это открытая 2D-графическая библиотека, которую Chrome использует для отрисовки веб-контента и элементов интерфейса. Ошибки такого класса возникают, когда приложение записывает данные за пределами выделенной области памяти. На практике это может привести как к банальному крашу браузера, так и к более опасным последствиям — например, к выполнению произвольного кода с правами процесса Chrome, если злоумышленнику удается точно контролировать содержимое памяти.
CVE-2026-3910: ошибка реализации в движке V8
Вторая проблема, CVE-2026-3910, описывается как ошибка некорректной реализации в движке V8, который отвечает за выполнение JavaScript и WebAssembly. Уязвимости в V8 традиционно считаются одними из наиболее ценных для атакующих. Во многих случаях для эксплуатации достаточно заставить жертву открыть специально подготовленную страницу или скомпрометированный легитимный сайт. Это делает такие баги удобными для целевых атак, внедрения шпионского ПО и обхода защитных механизмов браузера.
Почему zero-day в Chrome представляют повышенный риск
Chrome остается самым распространенным браузером в мире, и любая zero-day уязвимость в нем автоматически становится привлекательной целью для киберпреступников и операторов шпионских платформ. Наличие уже действующих эксплойтов означает, что атаки идут раньше, чем большинство пользователей успевает установить обновление. Подобные уязвимости нередко используются в цепочках сложных атак, сочетаясь с багами в операционных системах и других приложениях для достижения устойчивого присутствия в системе и кражи данных.
Динамика zero-day в Chrome: 2025 и начало 2026 года
С начала 2026 года это уже вторая и третья zero-day уязвимости, закрытые в Chrome. Ранее была устранена ошибка CVE-2026-2441 в компоненте CSSFontFeatureValuesMap, о которой Google сообщала в феврале. Для сравнения: за весь 2025 год компания ликвидировала восемь уязвимостей нулевого дня в своем браузере, значительную часть которых обнаружила команда Google Threat Analysis Group (TAG), специализирующаяся на расследовании целевых атак и коммерческого шпионского ПО. Такая динамика подчеркивает, что Chrome остается важной мишенью как для криминальных группировок, так и для кибершпионских кампаний.
Кому нужно обновиться в первую очередь
Особое внимание к экстренному обновлению должны уделить организации, где Chrome используется как основной корпоративный браузер, а также пользователи, работающие с чувствительными данными: сотрудники финансовых организаций, госструктур, медицинских учреждений, ИТ-компаний и критической инфраструктуры. При наличии управляемой инфраструктуры (AD, MDM, системы управления обновлениями) целесообразно ускорить развертывание версий 146.0.7680.75/76, минуя стандартные сроки отложенных апдейтов, принятые в некоторых компаниях для тестирования совместимости.
Рекомендации по снижению рисков для пользователей и организаций
До и после установки обновления разумно соблюдать ряд базовых практик кибербезопасности. Пользователям стоит немедленно проверить наличие апдейта через меню «Справка → О браузере Google Chrome» и вручную инициировать обновление, если оно еще не установлено. Имеет смысл включить автоматические обновления и отказаться от использования сильно устаревших версий браузера, даже если они кажутся «более привычными».
Администраторам корпоративных сред рекомендуется централизованно контролировать версии браузеров, ограничить использование альтернативных и портативных сборок без поддержки обновлений, а также внедрять политику ограниченного доступа к веб-ресурсам, особенно для критически важных рабочих станций. В сочетании с современными средствами защиты (EDR, фильтрация трафика, изоляция браузера) это помогает существенно снизить вероятность успешной эксплуатации даже пока неизвестных уязвимостей.
Новые zero-day в Chrome подтверждают, что даже крупные и технологически зрелые продукты не застрахованы от критических багов. Регулярные обновления, осознанное отношение к веб-серфингу и выстроенная политика безопасности в организациях остаются ключевыми инструментами защиты. Чем быстрее пользователи и компании установят экстренные патчи, тем меньше шансов у злоумышленников использовать свежие уязвимости в своих атаках.
