Компания Google выпустила экстренные обновления для устранения очередной уязвимости «нулевого дня» в Chrome, которая использовалась в реальных атаках. Это уже четвертая подобная уязвимость, исправленная с начала года.
В бюллетени безопасности компания сообщила:
Google известно о наличии в сети эксплоита для уязвимости CVE-2026-5281.
Уязвимость в WebGPU (Dawn)
В истории коммитов Chromium указано, что эта уязвимость связана с использованием данных после освобождения памяти в Dawn – базовой кроссплатформенной реализации стандарта WebGPU, используемой в проекте Chromium.
Злоумышленники могут использовать эту уязвимость в Dawn для вызова сбоев в работе веб-браузера, повреждения данных, проблем с отображением или других аномалий в поведении.
Хотя Google обнаружил доказательства того, что злоумышленники использовали эту уязвимость «нулевого дня» в реальных условиях, компания не раскрывает подробностей об этих инцидентах.
Google отмечает:
Доступ к подробностям об ошибке и ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не обновят свои системы с исправлением. Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но которая еще не исправлена.
Обновление Chrome
Уязвимость «нулевого дня» закрыта в стабильной версии Google Chrome для компьютеров: выпущены обновления для Windows, macOS (146.0.7680.177/178) и Linux (146.0.7680.177). Google предупреждает, что распространение может занять несколько дней или недель, однако обновление уже доступно. Если не хотите обновлять браузер вручную, включите автоматическую проверку – обновление установится при следующем запуске.
Вы также можете скачать новую версию браузера с нашего сайта:
Другие уязвимости нулевого дня в 2026 году
Это четвертая уязвимость нулевого дня в Chrome, активно используемая злоумышленниками, исправленная с начала года. Первая (CVE-2026-2441) представляла собой ошибку недействительности итератора в CSSFontFeatureValuesMap (реализация значений функций шрифтов CSS в Chrome), которую Google устранила в середине февраля.
В начале месяца Chrome также получил исправления для двух других уязвимостей «нулевого дня», которые уже использовались в атаках. Первая – ошибка выхода за границы памяти в графической библиотеке Skia (CVE-2026-3909). Вторая – некорректная реализация в движке V8 JavaScript engine и WebAssembly (CVE-2026-3910).
За 2025 год Google устранил восемь уязвимостей нулевого дня, активно применявшихся в реальных атаках. Многие из них обнаружила команда Google Threat Analysis Group, которая специализируется на выявлении эксплойтов, в том числе используемых в шпионском ПО.