Компания Google устранила 21 уязвимость, затрагивающие браузер Chrome, в том числе уязвимость «нулевого дня» (CVE-2026-5281), эксплойт которой уже используется в реальных условиях.
О CVE-2026-5281
Как обычно, информация об исправленной уязвимости «нулевого дня» ограничена, и нет подробностей об эксплойте (или о том, как и используется ли он злоумышленниками).
Официальное описание CVE-2026-5281 гласит, что это уязвимость типа «использование после освобождения» (UAF) в Dawn — кроссплатформенной реализации стандарта WebGPU с открытым исходным кодом, используемой в Chromium и браузерах на его основе.
Уязвимость затрагивает версии Chrome до v146.0.7680.177/178 для Windows/Mac и до v146.0.7680.177 для Linux.
Она позволяет удаленному злоумышленнику, взломавшему процесс рендерера, выполнить произвольный код через специально сформированную HTML-страницу.
CVE-2026-5281 была обнаружена анонимным исследователем уязвимостей (86ac1f1587b71893ed2ad792cd7dde32), который ранее сообщил о двух уязвимостях, исправленных в обновлении Chrome, выпущенном 23 марта 2026 года: переполнение буфера в WebGL (CVE-2026-4675) и еще одну ошибку использования после освобождения в Dawn (CVE-2026-4676).
Исследователь также сообщил о третьей ошибке в Dawn (CVE-2026-5284), которая была исправлена в этом обновлении.
Исправления CVE-2026-5281 для других браузеров на базе Chromium
Пользователям Chrome, которые полагаются на ручное обновление, рекомендуется обновить браузер. Те, кто выбрал опцию автоматического обновления, получат его автоматически и должны будут лишь перезапустить браузер, как только обновление станет доступно.
Vivaldi, основанный на Chromium, уже выпустил исправление, в то время как Microsoft работает над выпуском исправления для своего браузера Edge.
Ранее в этом месяце Google объявила, что начиная с сентября 2026 года бета-версии и стабильные версии Chrome будут выпускаться раз в две недели, чтобы минимизировать сбои и быстрее предоставлять новые функции, улучшения и исправления ошибок.