Компания Google выпустила экстренные обновления безопасности для устранения двух уязвимостей в браузере Chrome высокой степени критичности, которые использовались в атаках типа zero-day.
“Google осведомлена о том, что эксплойты для обеих уязвимостей, CVE-2026-3909 и CVE-2026-3910, уже используются в реальных атаках”, — говорится в рекомендации по безопасности Google, опубликованной в четверг.
Первая уязвимость нулевого дня (CVE-2026-3909) представляет собой слабость записи за пределами границ массива (out-of-bounds write) в Skia — библиотеке 2D-графики с открытым исходным кодом, отвечающей за отрисовку веб-контента и элементов пользовательского интерфейса. Злоумышленники могут использовать эту уязвимость для аварийного завершения работы веб-браузера или даже для выполнения произвольного кода.
Вторая уязвимость (CVE-2026-3910) описывается как некорректная реализация в движке JavaScript и WebAssembly V8.
Google обнаружила обе уязвимости и устранила их в течение двух дней после сообщения для пользователей в стабильном канале для настольных систем. Новые версии развертываются для систем под управлением Windows (146.0.7680.75), macOS (146.0.7680.76) и Linux (146.0.7680.75).
Хотя Google заявляет, что распространение внепланового обновления может занять дни или недели, оно было немедленно доступно, когда BleepingComputer проверил наличие обновлений ранее сегодня.
Если вы не хотите обновлять свой веб-браузер вручную, вы можете настроить его на автоматическую проверку обновлений и их установку при следующем запуске.
Хотя Google обнаружила доказательства того, что злоумышленники используют эту уязвимость нулевого дня в реальных атаках, компания не предоставила дополнительных подробностей об этих инцидентах.
“Доступ к деталям ошибки и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получат исправление. Мы также сохраним ограничения, если ошибка присутствует в сторонней библиотеке, от которой зависят другие проекты, но которые еще не исправили ее”, — отметила компания.
Это вторая и третья активно эксплуатируемые уязвимости нулевого дня в Chrome, устраненные с начала 2026 года. Первая, отслеживаемая как CVE-2026-2441 и описываемая как ошибка инвалидации итератора в CSSFontFeatureValuesMap (реализация Google CSS-свойств шрифтов), была устранена в середине февраля.
В прошлом году Google устранила в общей сложности восемь уязвимостей нулевого дня, эксплуатируемых в реальных атаках, многие из которых были обнаружены группой Google Threat Analysis Group (TAG) — группой исследователей безопасности, известной отслеживанием и выявлением уязвимостей нулевого дня, используемых в шпионских атаках.
В четверг Google также сообщила, что выплатила более 17 миллионов долларов 747 исследователям безопасности, сообщившим об уязвимостях через ее Программу вознаграждений за уязвимости (VRP) в 2025 году.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
