Компания Google выпустила срочное обновление безопасности для своего веб-обозревателя Chrome. В свежем релизе закрыто 21 уязвимость, и одна из них особенно тревожна — разработчики подтвердили, что ею уже активно пользуются злоумышленники в реальных атаках.
Речь идёт об уязвимости, получившей идентификатор CVE-2026-5281. Проблема скрывается в компоненте Dawn — это открытая кроссплатформенная реализация современного графического стандарта WebGPU. По сути, Dawn отвечает за то, как браузер взаимодействует с видеокартой при обработке сложной 3D-графики и вычислений прямо на веб-страницах.
Согласно описанию в Национальной базе данных уязвимостей США (NVD), ошибка относится к категории use-after-free — «использование после освобождения памяти». Если злоумышленнику удаётся скомпрометировать процесс рендеринга (например, через специально созданную HTML-страницу), он может использовать этот сбой для выполнения произвольного кода на устройстве жертвы. Простыми словами: посещение вредоносного сайта может дать атакующему возможность запустить на вашем компьютере любую программу без вашего ведома.
В Google традиционно не раскрывают технические детали эксплуатации уязвимости и не называют тех, кто стоит за атаками. Такой подход объясним: чем меньше информации об ошибке будет в открытом доступе в первые дни после выхода патча, тем сложнее злоумышленникам адаптировать свои инструменты под ещё не обновлённые системы. Главная задача — дать пользователям время установить защиту, прежде чем атаки станут массовыми.
Эта новость приходит спустя всего несколько недель после того, как компания уже закрывала две другие опасные уязвимости нулевого дня — CVE-2026-3909 и CVE-2026-3910. А в феврале того же года была исправлена ещё одна активно эксплуатируемая проблема (CVE-2026-2441) в компоненте CSS. Таким образом, с начала года Google уже устранила четыре критические уязвимости в Chrome, которые использовались злоумышленниками до того, как стали известны разработчикам.
Чтобы обезопасить себя, достаточно обновить браузер до актуальной версии. Для пользователей Windows и macOS это версии 146.0.7680.177 или 146.0.7680.178. Для Linux — 146.0.7680.177.
Откройте меню Chrome (три точки в правом верхнем углу).
Наведите курсор на пункт «Справка» и выберите «О браузере Google Chrome».
Браузер автоматически начнёт проверку обновлений. Если обновление доступно, оно загрузится и установится.
Нажмите кнопку «Перезапустить», чтобы изменения вступили в силу.
Важно отметить, что эта уязвимость затрагивает не только Google Chrome, но и все браузеры, созданные на основе открытого движка Chromium. К ним относятся Microsoft Edge, Brave, Opera, Vivaldi и многие другие. Разработчики этих браузеров уже получили исправления, поэтому, если вы пользуетесь одним из них, обязательно проверьте наличие обновлений в ближайшие дни.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Критическая уязвимость в платформе Langflow подверглась активной эксплуатации уже через 20 часов после публичного раскрытия информации. Этот инцидент наглядно демонстрирует, с какой скоростью злоумышленники превращают свежеопубликованные уязвимости в рабочие инструменты для атак.
Популярный сканер уязвимостей с открытым исходным кодом Trivy, развиваемый компанией Aqua Security, подвергся повторному взлому. Всего за месяц это уже второй инцидент, в ходе которого злоумышленники внедрили вредоносное программное обеспечение, нацеленное на кражу конфиденциальных секретов из CI/CD-окружений.
Масштабная атака на браузерные расширения вскрыла уязвимость, о которой пользователи даже не подозревали. Популярный инструмент «Save Image as Type» (Сохранить изображение как), который помогал миллионам людей конвертировать WebP-картинки в привычные форматы, оказался в руках злоумышленников. Результат: более миллиона пользователей Chrome по всему миру стали жертвами скрытой махинации.