Компания Google выпустила внеплановые обновления безопасности для браузера Chrome, устраняющие две уязвимости высокой степени опасности, которые уже активно используются в атаках.
В бюллетене безопасности сообщается:
Google известно о существовании эксплойтов для уязвимостей CVE-2026-3909 и CVE-2026-3910, применяемых в реальных атаках.
Первая уязвимость нулевого дня (CVE-2026-3909) связана с ошибкой записи за пределами выделенной области памяти библиотеке Skia. Это открытая библиотека двумерной графики, используемая Chrome для рендеринга веб-контента и элементов пользовательского интерфейса. Эксплуатация данной уязвимости может позволить злоумышленникам вызвать сбой браузера или даже добиться выполнения произвольного кода на системе жертвы.
Вторая уязвимость (CVE-2026-3910) описывается как ошибка некорректной реализации в движке V8, который используется в Chrome для выполнения JavaScript и WebAssembly.
Google обнаружил обе уязвимости и выпустил исправления всего через два дня после их выявления. Обновления уже начали распространяться для пользователей стабильного канала Chrome на настольных платформах. Новые версии браузера получили следующие номера:
- Chrome для Windows — 146.0.7680.75
- Chrome для macOS — 146.0.7680.76
- Chrome для Linux — 146.0.7680.75
Google отмечает, что распространение внепланового обновления может занять от нескольких дней до нескольких недель.
Если вы не хотите обновлять браузер вручную, можно просто оставить включенной автоматическую проверку обновлений — в этом случае Chrome самостоятельно обнаружит новую версию и установит ее при следующем запуске браузера.
Несмотря на то что Google обнаружил признаки активной эксплуатации этой уязвимости нулевого дня в реальных атаках, компания не раскрыла дополнительных подробностей об этих инцидентах.
Компания сообщает:
Доступ к деталям уязвимости и связанным материалам может оставаться ограниченным до тех пор, пока большинство пользователей не установит исправление. Мы также сохраняем ограничения в тех случаях, когда уязвимость находится в сторонней библиотеке, от которой зависят другие проекты, но для которой исправление еще не выпущено.
Эти уязвимости стали второй и третьей активно эксплуатируемыми уязвимостями «нулевого дня» в Chrome, исправленными с начала 2026 года. Первая из них, отслеживаемая под идентификатором CVE-2026-2441, была устранена в середине февраля.. Она представляла собой ошибку типа «iterator invalidation» в компоненте CSSFontFeatureValuesMap, который является реализацией в Chrome механизма CSS для работы со значениями типографических функций шрифтов.
В прошлом году Google исправил в общей сложности восемь уязвимостей нулевого дня, которые уже использовались в атаках. Многие из них были обнаружены исследователями Threat Analysis Group (TAG) — специальной командой компании по анализу угроз.
Кроме того, в четверг Google сообщил, что в 2025 году выплатил более 17 миллионов долларов 747 специалистам по безопасности, которые сообщили об уязвимостях через программу Vulnerability Reward Program (VRP).
Обновления программ, что нового
• Google исправил две активно эксплуатируемые уязвимости «нулевого дня» в браузере Chrome
• Какие смартфоны Google Pixel получат Android 17: полный список
• Яндекс создаёт подразделение транзакционного ИИ — Алиса сможет покупать товары и бронировать услуги
• Обновления безопасности Samsung за февраль 2026 года: какие устройства уже получили патч в России
• Anthropic добавила в Claude генерацию диаграмм без кода и поддержку Figma
• Mozilla тестирует ИИ-интерфейс Smart Window в бета-версии Firefox