Компания Google выпустила внеплановое обновление безопасности для Chrome , устраняющее две уязвимости «нулевого дня» высокой степени опасности.
Обе уязвимости могут быть использованы удаленно и требуют лишь того, чтобы пользователь посетил вредоносный веб-сайт. Поскольку сложность атаки невысока, эти уязвимости представляют собой более серьезную угрозу в реальных условиях.
Как обновить Chrome
Последние номера версий:146.0.7680.75/76 для Windows macOS и146.0.7680.75 для Linux. Если у вас установлена версия Chrome 146.0.7680.75 или более поздняя,вы защищены от этих уязвимостей.
Самый простой способ всегда быть в курсе обновлений — разрешить Chrome автоматически. Однако обновления могут задерживаться, если вы редко закрываете браузер или если что-то мешает процессу обновления.
Чтобы обновить вручную:
- Нажмите на меню«Ещё»(три точки)
- Перейдите в«Настройки»>«О Chrome».
- Если доступно обновление, Chrome его загрузку.
- Перезапустите Chrome завершить обновление, и вы будете защищены от этих уязвимостей.
Вы также можете найти пошаговые инструкции в нашем руководстве пообновлению Chrome всех операционных систем, где приведены инструкции по проверке номера версии.
Технические детали
Google сообщает, что обе ошибки были обнаружены и исправлены собственными силами, а исправления были выпущены примерно через два дня после их обнаружения.
CVE-2026-3909 — это уязвимость, связанная с записью за пределы допустимого диапазона в Skia, библиотеке 2D-графики Chrome, используемой для рендеринга веб-контента и элементов пользовательского интерфейса. Удаленный злоумышленник может заманить пользователя на вредоносную веб-страницу, которая запускает эту уязвимость, приводит к повреждению памяти и потенциально позволяет выполнить код в контексте браузера. Skia — это библиотека 2D-графики с открытым исходным кодом, используемая не только в Google Chrome и во многих других продуктах.
CVE-2026-3910 — это ошибка в реализации движка V8 для JavaScript и WebAssembly. Специально сформированная HTML-страница может позволить удаленному злоумышленнику выполнить произвольный код внутри песочницы V8. V8 — это движок, разработанный Google для обработки JavaScript, в котором было обнаружено немало ошибок.
Компоненты Skia и V8 Chromeявляются основными уязвимыми местами, поскольку они находятся непосредственно на пути между недоверенным веб-контентом и базовой системой.
В Skia можно объединить запись за пределами допустимого диапазона с другими уязвимостями, чтобы выйти за пределы «песочницы» рендерера, в то время как недостатки реализации V8 часто встречаются в цепочках эксплойтов, используемых злоумышленниками, нацеленными на конкретные системы, и разработчиками шпионского ПО.
Как оставаться в безопасности
Чтобы защитить свое устройство, обновите Chrome можно скорее. Вот ещё несколько советов, которые помогут вам не стать жертвой атаки, даже до того, как уязвимость «нулевого дня» будет исправлена:
- Не нажимайте на нежелательные ссылки в электронных письмах, сообщениях, на неизвестных веб-сайтах или в социальных сетях.
- Включите автоматические обновления и регулярно перезапускайте браузер. Многие пользователи оставляют браузеры открытыми на несколько дней, что задерживает защиту, даже если обновление загружается в фоновом режиме.
- Используйте актуальноеантивирусное решение, работающее в режиме реального времени и включающее компонент защиты в Интернете.
Пользователи других браузеров на базе Chromium могут ожидать появления аналогичного обновления в ближайшее время.
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
