Google терміново випустила оновлення Chrome через дві небезпечні уразливості

Компанія Google випустила екстрене оновлення для Chrome, щоб усунути дві раніше невідомі уразливості, якими зловмисники вже користувалися до виходу виправлень.

Ці уразливості, що мають ідентифікатори CVE-2026-3909 та CVE-2026-3910, зачіпають основні компоненти браузера і стали приводом для звичного попередження від Google про те, що технічні деталі залишатимуться в таємниці, доки більшість користувачів не оновить програму.

«Доступ до деталей про помилки та посилань може бути обмежений, доки більшість користувачів не оновиться з виправленням. Ми також збережемо обмеження, якщо помилка існує у сторонній бібліотеці, від якої аналогічно залежать інші проекти, але яка ще не виправлена», — заявила компанія.

CVE-2026-3909 — це помилка запису за межі області в Skia, графічній бібліотеці, яку Chrome використовує для візуалізації веб-вмісту та частин свого користувацького інтерфейсу. Помилки пошкодження пам’яті, подібні до цієї, іноді можуть бути використані зловмисниками для виведення з ладу програм або запуску власного коду, якщо їх вдасться успішно експлуатувати.

Друга вразливість, CVE-2026-3910, описана як проблема неправильної реалізації в двигуні V8 для JavaScript та WebAssembly — частині браузера Chrome, що відповідає за виконання скриптів на веб-сторінках. Вразливості в V8 є особливо привабливими для зловмисників, оскільки їх потенційно можна активувати, змусивши жертву відвідати шкідливий або зламаний сайт.

Google заявляє, що знає про те, що експлойти для обох вразливостей вже використовуються, хоча компанія не поділилася деталями про те, як саме використовуються ці помилки та хто може стояти за цими атаками. Така мовчанка є досить типовою, коли йдеться про вразливості «нульового дня»; постачальники зазвичай приховують технічну інформацію, щоб не надавати розробникам експлойтів готовий план дій до того, як патчі набудуть широкого поширення.

Виправлення включено до останнього стабільного оновлення Chrome для Windows, macOS та Linux, яке має розповсюдитися автоматично протягом найближчих днів і тижнів. Користувачі також можуть запустити оновлення вручну через меню налаштувань Chrome, після чого для завершення встановлення потрібно буде перезапустити браузер.

Google заявляє, що обидві помилки були виявлені власними силами, що не завжди буває. Цього тижня компанія також повідомила, що у 2025 році виплатила 17 мільйонів доларів 747 дослідникам у сфері безпеки в рамках своєї програми винагород за виявлення вразливостей.

Виправлення з’явилися приблизно через місяць після того, як Google виправила іншу активно експлуатовану уразливість нульового дня в Chrome, CVE-2026-2441 — уразливість високого рівня серйозності типу «use-after-free» в обробці CSS браузером, яка могла дозволити зловмисній веб-сторінці виконати код всередині пісочниці браузера.

Зараз, коли під атакою опинилися ще дві уразливості «нульового дня», кількість виявлених уразливостей у Chrome у 2026 році вже зростає. Якщо ваш браузер наполегливо просить вас перезапустити його для оновлення, можливо, саме зараз варто прислухатися до нього.

Источник: itechua.com