Компания Google опубликовала экстренное обновление для браузера Chrome, направленное на устранение двух критических уязвимостей, которые уже активно эксплуатировались злоумышленниками до выхода патчей.
Об этом сообщает ProIT
Детали уязвимостей и риски для пользователей
Идентификаторы обнаруженных уязвимостей — CVE-2026-3909 и CVE-2026-3910. Они затрагивают ключевые компоненты Chrome, что стало основанием для традиционного предупреждения Google о ограниченном доступе к технической информации, пока большинство пользователей не установит обновление.
«Доступ к деталям о ошибках и ссылкам может быть ограничен, пока большинство пользователей не обновится с исправлением. Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогично зависят другие проекты, но которая еще не исправлена», — заявила компания.
Первая из уязвимостей, CVE-2026-3909, является ошибкой записи за пределами разрешенной области в Skia — графической библиотеке, которую Chrome использует для рендеринга веб-страниц и элементов интерфейса. Подобные недостатки в памяти могут позволить хакерам вывести программу из строя или запустить вредоносный код в случае успешной эксплуатации.
Вторая уязвимость, CVE-2026-3910, связана с неправильной реализацией в движке V8, который отвечает за выполнение JavaScript и WebAssembly. Уязвимости в V8 особенно привлекательны для киберпреступников, поскольку могут быть использованы через вредоносные или взломанные веб-сайты, которые жертва посещает.
Обновление, автоматическое исправление и программа вознаграждений
По информации Google, эксплойты для обеих уязвимостей уже были внедрены, но компания воздержалась от раскрытия подробностей о методах атак или потенциальных авторах. Такая практика характерна для уязвимостей «нулевого дня», когда техническая информация скрывается до широкого распространения обновлений.
Патчи уже вошли в стабильную версию Chrome для Windows, macOS и Linux, которая распространяется автоматически. Пользователи также могут самостоятельно инициировать обновление через меню настроек браузера и перезапустить программу для завершения установки исправлений.
Google подчеркивает, что обе уязвимости были обнаружены собственной командой безопасности. Также на этой неделе компания сообщила о выплате 17 миллионов долларов 747 исследователям в 2025 году в рамках программы вознаграждений за найденные уязвимости.
Стоит отметить, что это не первый критический инцидент за последнее время: примерно месяц назад Google закрыла еще одну активно используемую «нулевую» уязвимость — CVE-2026-2441, которая касалась высокоуровневой ошибки «use-after-free» в механизме обработки CSS.
Учитывая, что количество обнаруженных критических уязвимостей в Chrome в 2026 году уже возросло, эксперты советуют внимательно относиться к рекомендациям браузера по обновлению и перезапуску для обеспечения безопасности.