Компания Google выпустила экстренное обновление для Chrome, чтобы устранить две ранее неизвестные уязвимости, которыми злоумышленники уже пользовались до выхода исправлений.
Эти уязвимости, имеющие идентификаторы CVE-2026–3909 и CVE-2026–3910, затрагивают основные компоненты браузера и стали поводом для привычного предупреждения от Google о том, что технические детали будут оставаться в тайне, пока большинство пользователей не обновит приложение.
«Доступ к деталям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновятся с исправлением. Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогично зависят другие проекты, но которая еще не исправлена», — заявила компания.
CVE-2026–3909 — это ошибка записи за пределами области в Skia, графической библиотеке, которую Chrome использует для визуализации веб-контента и частей своего пользовательского интерфейса. Подобные ошибки повреждения памяти иногда могут использоваться злоумышленниками для вывода из строя приложений или запуска собственного кода, если они успешно используются.
Вторая уязвимость, CVE — 2026–3910, описана как проблема неправильной реализации в движке V8 для JavaScript и WebAssembly-части браузера Chrome, отвечающей за выполнение сценариев на веб-страницах. Уязвимости в V8 особенно привлекательны для злоумышленников, поскольку их потенциально можно активировать, заставив жертву посетить вредоносный или взломанный сайт.
Google заявляет, что знает, что эксплойты для обеих уязвимостей уже используются, хотя компания не поделилась подробностями о том, как именно используются эти ошибки и кто может стоять за этими атаками. Такое молчание довольно типично, когда речь идет об уязвимостях «нулевого дня»; поставщики обычно скрывают техническую информацию, чтобы не предоставлять разработчикам эксплойтов готовый план действий до того, как патчи получат широкое распространение.
Исправление включено в последнее стабильное обновление Chrome для Windows, macOS и Linux, которое должно автоматически распространяться в ближайшие дни и недели. Пользователи также могут запустить обновление вручную через меню настроек Chrome, после чего для завершения установки потребуется перезапустить браузер.
Google заявляет, что обе ошибки были обнаружены собственными силами, что не всегда бывает. На этой неделе компания также сообщила, что в 2025 году выплатила 17 миллионов долларов 747 исследователям в области безопасности в рамках своей программы вознаграждений за обнаружение уязвимостей.
Исправления появились примерно через месяц после того, как Google исправил еще одну активно используемую уязвимость нулевого дня в Chrome, CVE-2026–2441 — уязвимость высокого уровня серьезности типа «use-after-free» в обработке CSS браузером, которая могла позволить вредоносной веб-странице выполнить код внутри песочницы браузера.
Сейчас, когда под атакой оказались еще две уязвимости «нулевого дня», количество обнаруженных уязвимостей в Chrome в 2026 году уже растет. Если Ваш браузер настойчиво просит вас перезапустить его для обновления, возможно, именно сейчас стоит прислушаться к нему.