10 марта 2026 года внутри Google обнаружили две серьёзные бреши в браузере Chrome. Обе уязвимости на тот момент уже использовались злоумышленниками. Не теоретически, не гипотетически — атаки шли в реальном времени, на реальных пользователей. Спустя считанные дни компания выпустила экстренные обновления, а Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло обе проблемы в каталог известных эксплуатируемых уязвимостей (KEV) уже 13 марта.
Первая уязвимость, получившая идентификатор CVE-2026-3909, затрагивает библиотеку двумерной графики Skia. Это компонент, который отвечает за отрисовку практически всего, что вы видите на экране в Chrome: текст, изображения, элементы интерфейса страниц. Проблема классифицирована как «запись за пределами выделенной памяти» (out-of-bounds write). На практике это означает, что злоумышленник может подготовить специальную HTML-страницу, при загрузке которой браузер начнёт записывать данные туда, куда не должен. Оценка серьёзности по шкале CVSS — 8.8 из 10. Высокая.
Вторая брешь, CVE-2026-3910, сидит в движке V8 — том самом, что исполняет JavaScript и WebAssembly. Тип уязвимости формулируется как «некорректная реализация» (inappropriate implementation), и при всей мягкости формулировки последствия жёсткие: удалённый атакующий может выполнить произвольный код внутри песочницы браузера. Опять же через специально сконструированную HTML-страницу. Балл CVSS — тоже 8.8.
Обратите внимание: обе атаки запускаются через обычную веб-страницу. Пользователю не нужно ничего скачивать или устанавливать. Достаточно перейти по ссылке. Это делает уязвимости особенно опасными для массовой эксплуатации — фишинговое письмо, рекламный баннер с редиректом, взломанный легитимный сайт.
Google пока не раскрывает деталей атак. Это стандартная практика: пока значительная часть пользователей не обновится, публикация технических подробностей только поможет тем, кто захочет воспроизвести эксплойт. Закрытость информации в данном случае — мера защиты, а не попытка замять инцидент.
С начала 2026 года это уже третий активно эксплуатируемый zero-day в Chrome. Предыдущий, CVE-2026-2441, был закрыт меньше чем за месяц до текущего обновления. Та уязвимость относилась к типу use-after-free и затрагивала CSS-компонент браузера, тоже с оценкой 8.8 по CVSS. Три уязвимости нулевого дня за несколько месяцев — темп тревожный, даже для такого крупного продукта.
CISA установило дедлайн для федеральных гражданских ведомств (FCEB): устранить обе уязвимости нужно до 27 марта 2026 года. Формально это требование касается американских госструктур, но каталог KEV давно стал ориентиром для ИТ-отделов по всему миру. Если уязвимость туда попала — обновляться нужно немедленно.
Целевые версии Chrome: для Windows и macOS это 146.0.7680.75 либо 146.0.7680.76, для Linux — 146.0.7680.75. Обновление устанавливается через меню: «Ещё» → «Справка» → «О браузере Google Chrome», после чего потребуется перезапуск. Процедура занимает пару минут, но почему-то именно этот шаг люди откладывают неделями.
Отдельный момент касается всех, кто пользуется браузерами на основе Chromium. А это Microsoft Edge, Brave, Opera и Vivaldi. Движки Skia и V8 — общие для всей платформы Chromium, поэтому уязвимости распространяются и на эти браузеры тоже. Разработчики каждого из них должны выпустить собственные патчи, и пользователям стоит отслеживать обновления, не дожидаясь напоминаний.
Ситуация с тремя zero-day за начало года ставит неудобный вопрос. Chrome остаётся самым популярным браузером в мире, и именно поэтому он — главная мишень. Библиотека Skia и движок V8 — сложнейшие компоненты с огромной кодовой базой, и каждый новый аудит обнаруживает в них что-то ещё. Пользователям остаётся одно: не игнорировать уведомления об обновлениях и не относиться к перезапуску браузера как к чему-то необязательному.
Изображение носит иллюстративный характер
Первая уязвимость, получившая идентификатор CVE-2026-3909, затрагивает библиотеку двумерной графики Skia. Это компонент, который отвечает за отрисовку практически всего, что вы видите на экране в Chrome: текст, изображения, элементы интерфейса страниц. Проблема классифицирована как «запись за пределами выделенной памяти» (out-of-bounds write). На практике это означает, что злоумышленник может подготовить специальную HTML-страницу, при загрузке которой браузер начнёт записывать данные туда, куда не должен. Оценка серьёзности по шкале CVSS — 8.8 из 10. Высокая.
Вторая брешь, CVE-2026-3910, сидит в движке V8 — том самом, что исполняет JavaScript и WebAssembly. Тип уязвимости формулируется как «некорректная реализация» (inappropriate implementation), и при всей мягкости формулировки последствия жёсткие: удалённый атакующий может выполнить произвольный код внутри песочницы браузера. Опять же через специально сконструированную HTML-страницу. Балл CVSS — тоже 8.8.
Обратите внимание: обе атаки запускаются через обычную веб-страницу. Пользователю не нужно ничего скачивать или устанавливать. Достаточно перейти по ссылке. Это делает уязвимости особенно опасными для массовой эксплуатации — фишинговое письмо, рекламный баннер с редиректом, взломанный легитимный сайт.
Google пока не раскрывает деталей атак. Это стандартная практика: пока значительная часть пользователей не обновится, публикация технических подробностей только поможет тем, кто захочет воспроизвести эксплойт. Закрытость информации в данном случае — мера защиты, а не попытка замять инцидент.
С начала 2026 года это уже третий активно эксплуатируемый zero-day в Chrome. Предыдущий, CVE-2026-2441, был закрыт меньше чем за месяц до текущего обновления. Та уязвимость относилась к типу use-after-free и затрагивала CSS-компонент браузера, тоже с оценкой 8.8 по CVSS. Три уязвимости нулевого дня за несколько месяцев — темп тревожный, даже для такого крупного продукта.
CISA установило дедлайн для федеральных гражданских ведомств (FCEB): устранить обе уязвимости нужно до 27 марта 2026 года. Формально это требование касается американских госструктур, но каталог KEV давно стал ориентиром для ИТ-отделов по всему миру. Если уязвимость туда попала — обновляться нужно немедленно.
Целевые версии Chrome: для Windows и macOS это 146.0.7680.75 либо 146.0.7680.76, для Linux — 146.0.7680.75. Обновление устанавливается через меню: «Ещё» → «Справка» → «О браузере Google Chrome», после чего потребуется перезапуск. Процедура занимает пару минут, но почему-то именно этот шаг люди откладывают неделями.
Отдельный момент касается всех, кто пользуется браузерами на основе Chromium. А это Microsoft Edge, Brave, Opera и Vivaldi. Движки Skia и V8 — общие для всей платформы Chromium, поэтому уязвимости распространяются и на эти браузеры тоже. Разработчики каждого из них должны выпустить собственные патчи, и пользователям стоит отслеживать обновления, не дожидаясь напоминаний.
Ситуация с тремя zero-day за начало года ставит неудобный вопрос. Chrome остаётся самым популярным браузером в мире, и именно поэтому он — главная мишень. Библиотека Skia и движок V8 — сложнейшие компоненты с огромной кодовой базой, и каждый новый аудит обнаруживает в них что-то ещё. Пользователям остаётся одно: не игнорировать уведомления об обновлениях и не относиться к перезапуску браузера как к чему-то необязательному.
