Злоумышленники используют две уязвимости нулевого дня высокой степени критичности в браузере Chrome, которые, по мнению экспертов, ИТ-команды должны немедленно устранить.
Компания Google выпустила экстренные исправления для этих двух уязвимостей, CVE-2026-3909 и CVE-2026-3910. Это произошло всего через несколько дней после выпуска 29 исправлений для уязвимостей в рамках «Вторника исправлений» за март, а также исправления для уязвимости нулевого дня, выпущенного в феврале. Затронуты браузеры до версии 146.0.7680.75.
Эти эксплойты служат еще одним поводом для руководителей служб информационной безопасности убедиться в наличии корпоративной стратегии установки исправлений для всех авторизованных браузеров и плагинов.
«Если вы не управляете исправлениями для браузеров, ваши шансы быть скомпрометированными растут с каждым днем», — заявил Дэвид Шипли из канадской компании Beauceron Security, занимающейся обучением по вопросам безопасности.
CVE-2026-3910 позволяет удаленному злоумышленнику выполнить произвольный код внутри песочницы через специально сформированную HTML-страницу из-за некорректной реализации в движке V8 JavaScript и WebAssembly браузера Chrome. CVE-2026-3909 позволяет удаленному злоумышленнику получить доступ к памяти за пределами допустимых границ через специально сформированную HTML-страницу; причиной является запись за пределами границ в библиотеке графики Skia браузера Chrome. Доступ к памяти браузера может привести к потере конфиденциальной корпоративной информации, отметил Шипли.
Следуя политике компании, Google не раскрывает подробностей об ошибках до тех пор, пока большинство пользователей не обновятся с помощью исправления.
Браузеры — главная цель
Браузеры являются основной мишенью для злоумышленников, поскольку это инструмент, которым пользуются все в сети. Отчет Omdia для Palo Alto Networks за 2025 год показал, что за 12-месячный период 95% организаций столкнулись с инцидентом безопасности, возникшим из-за браузера сотрудника.
В связи с этим один эксперт отметил, что противники теперь нацеливаются непосредственно на браузер с помощью таких атак, как межсайтовый скриптинг (XSS), перехват сеансов через украденные токены и продвинутый фишинг, обходящий традиционную многофакторную аутентификацию (MFA). Необходимым ответом, по его мнению, является основанный на нулевом доверии фреймворк, ориентированный на браузер.
[Сопутствующий материал: Выбор безопасного корпоративного браузера]
Эти новые уязвимости подчеркивают, почему движки браузеров остаются одними из самых привлекательных целей для атакующих, отметил Джек Бицер, директор по исследованиям уязвимостей в Action1. «При уже подтвержденном активном использовании организации, откладывающие обновления, рискуют подвергнуть пользователей атакам типа drive-by, доставляемым через скомпрометированные или вредоносные веб-сайты».
Chromium и все браузеры на его основе, включая Chrome, Edge и другие, должны быть обновлены до последних версий безопасности как можно скорее, сказал он. Администраторы также должны убедиться, что автоматические обновления включены на всех конечных точках предприятия, отслеживать устаревшие версии браузеров и рассмотреть возможность использования технологий изоляции браузера для снижения риска веб-атак.
Скотт Кавеза, старший инженер-исследователь в Tenable, согласился, что две последние уязвимости нулевого дня должны быть в поле зрения любой организации, где активно установлен Chrome. Хотя Google не предоставила подробностей о злоупотреблении этими уязвимостями, он отметил, что большинство эксплойтов, связанных с браузерами, требуют, чтобы жертва посетила специально созданный веб-сайт, что делает атаки более вероятными в качестве целевых.
К счастью, добавил он, обновление Chrome происходит быстро и легко, и на многих установках автоматические обновления остаются включенными.
«Мы знаем, что злоумышленники оппортунистичны, и когда они нацеливаются на один из самых широко распространенных браузеров на рынке, крайне важно, чтобы команды приняли меры прямо сейчас для обеспечения максимально быстрого применения обновлений», — сказал он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
