Компанія Google оприлюднила екстрене оновлення для браузера Chrome, спрямоване на усунення двох критичних вразливостей, які вже активно експлуатувалися зловмисниками до випуску патчів.
Про це розповідає ProIT
Деталі вразливостей та ризики для користувачів
Ідентифікатори виявлених вразливостей — CVE-2026-3909 та CVE-2026-3910. Вони вражають ключові компоненти Chrome, що стало підставою для традиційного попередження Google про обмежений доступ до технічної інформації, доки більшість користувачів не встановить оновлення.
«Доступ до деталей про помилки та посилань може бути обмежений, доки більшість користувачів не оновиться з виправленням. Ми також збережемо обмеження, якщо помилка існує у сторонній бібліотеці, від якої аналогічно залежать інші проекти, але яка ще не виправлена», — заявила компанія.
Перша з вразливостей, CVE-2026-3909, є помилкою запису за межі дозволеної області у Skia — графічній бібліотеці, яку Chrome використовує для рендерингу веб-сторінок та елементів інтерфейсу. Подібні вади у пам’яті можуть дозволити хакерам вивести програму з ладу або запустити шкідливий код у разі успішної експлуатації.
Друга вразливість, CVE-2026-3910, пов’язана з неправильною реалізацією у двигуні V8, що відповідає за виконання JavaScript і WebAssembly. Вразливості у V8 особливо привабливі для кіберзлочинців, оскільки можуть бути використані через шкідливі або зламані веб-сайти, які жертва відвідує.
Оновлення, автоматичне виправлення та програма винагород
За інформацією Google, експлойти для обох вразливостей вже впроваджувалися, але компанія утрималася від розкриття подробиць щодо методу атак або потенційних авторів. Така практика властива для уразливостей «нульового дня», коли технічна інформація приховується до широкого розповсюдження оновлень.
Патчі вже увійшли до стабільної версії Chrome для Windows, macOS і Linux, яка розповсюджується автоматично. Користувачі також можуть самостійно ініціювати оновлення через меню налаштувань браузера та перезапустити програму для завершення встановлення виправлень.
Google підкреслює, що обидві уразливості були виявлені власною командою безпеки. Також цього тижня компанія повідомила про виплату 17 мільйонів доларів 747 дослідникам у 2025 році в межах програми винагород за знайдені вразливості.
Варто зазначити, що це не перший критичний інцидент за останній час: приблизно місяць тому Google закрила ще одну активно використовувану «нульову» уразливість — CVE-2026-2441, яка стосувалася високорівневої помилки «use-after-free» у механізмі обробки CSS.
З огляду на те, що кількість виявлених критичних вразливостей у Chrome у 2026 році вже зросла, експерти радять уважно ставитися до рекомендацій браузера щодо оновлення та перезапуску для гарантування безпеки.