IPOK.cc

Руководство по устранению критических уязвимостей Chrome Zero-Day 2026

doc

Технический анализ критических уязвимостей Chrome 2026 года, включая конкретные номера версий, решения и корпоративные стратегии защиты.

Критические уязвимости Chrome Zero-Day 2026: CVE-2026-5281, CVE-2026-2441, CVE-2026-3909 и CVE-2026-3910

В 2026 году Chrome подвергся четырём атакам через уязвимости нулевого дня. CVE-2026-5281, CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 — каждая из них активно эксплуатировалась в дикой природе, затрагивая 3,5 миллиарда пользователей по всему миру. В этой статье приведены точные номера версий, ссылки на официальные исправления, разбор цепочек атак и корпоративные стратегии снижения риска для каждой уязвимости.

Хронология

CVE ID Тип Компонент CVSS Исправленная версия Дата обнаружения
CVE-2026-2441 Use-after-free CSSFontFeatureValuesMap Critical 145.0.7632.75/76 2026-02-11
CVE-2026-3909 Запись за границы Skia 2D 8.8 146.0.7680.80 2026-03-10
CVE-2026-3910 Неправильная реализация V8 JS Engine 8.8 146.0.7680.80 2026-03-10
CVE-2026-5281 Use-after-free Dawn (WebGPU) Critical 146.0.7680.177/178 2026-03-10

CVE-2026-2441: Инвалидация итератора шрифтов CSS

Тип уязвимости: Use-after-free (инвалидация итератора)

** затронутый компонент**: CSSFontFeatureValuesMap

CVSS: Critical (CISA подтвердила эксплуатацию в дикой природе)

Официальное уведомление: chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_13.html

Детали CVE: nvd.nist.gov/vuln/detail/CVE-2026-2441

Проблема Chromium: issues.chromium.org/issues/483569511

CISA KEV: catalog.cisa.gov/known-exploited-vulnerabilities

PoC в открытом доступе: github.com/huseyinstif/CVE-2026-2441-PoC

Затронутые версии

  • Windows/Mac: < 145.0.7632.75/76
  • Linux: < 144.0.7559.75

Исправленные версии

  • Windows/Mac: 145.0.7632.75/76
  • Linux: 144.0.7559.75

Разбор цепочки атаки

1. Атакующий размещает вредоносную HTML-страницу
2. Страница вызывает синтаксис CSS font-feature-values для инициирования итерации CSSFontFeatureValuesMap
3. Во время итерации DOM-узлы удаляются, инвалидируя итератор
4. Инвалидированный итератор всё ещё содержит ссылку на освобождённую память
5. Атакующий заполняет освобождённую память через JavaScript
6. Достигает выполнения произвольного кода → побег из песочницы

MITRE ATT&CK:

  • T1068: Повышение привилегий / Побег из песочницы
  • T1059.007: Выполнение JavaScript
  • T1203: Эксплуатация браузера

Правила детекции

Правило Sysmon (формат XML):

<RuleGroup name="CVE-2026-2441 Detection" groupRelation="or">
  <ProcessCreate onmatch="include">
    <ParentImage condition="contains">chrome.exe</ParentImage>
    <CommandLine condition="contains">--type=renderer</CommandLine>
  </ProcessCreate>
</RuleGroup>

Правило Suricata:

alert http any any -> $HOME_NET any (
  msg:"CVE-2026-2441 Chrome CSSFontFeatureValuesMap Exploit Attempt";
  content:"font-feature-values";
  http.uri;
  pcre:"/font-feature-values\s*\{.*\}/P";
  classtype:web-application-attack;
  sid:9002441;
  rev:1;
)

Скрипт Zeek:

event http_request(c: connection, method: string, original_URI: string, 
                  unescaped_URI: string, version: string) {
    if (/\bfont-feature-values\b/ in unescaped_URI) {
        NOTICE([$note=CVE_2026_2441_EXPLOIT,
                $msg="Potential CSS FontFeatureValuesMap exploit URI",
                $conn=c]);
    }
}

CVE-2026-3909: Запись Skia за границы буфера

Тип уязвимости: Запись за границы буфера

** затронутый компонент**: Библиотека 2D-графики Skia

CVSS: 8.8 (Critical)

Официальное уведомление: chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_13.html

Детали CVE: nvd.nist.gov/vuln/detail/CVE-2026-3909

Проблема Chromium: issues.chromium.org/issues/491421267

CISA KEV: Включена в каталог

Затронутые версии

  • Все платформы: < 146.0.7680.80

Исправленные версии

  • Windows/Mac/Linux: 146.0.7680.80

Разбор цепочки атаки

1. Атакующий доставляет специально созданную HTML Canvas-страницу через фишинговое письмо или вредоносный сайт
2. Страница использует WebGL/Canvas API для отрисовки векторной графики с malformed--path данными
3. При разборе вершин пути в библиотеке Skia происходит целочисленное переполнение
4. Переполнение вызывает запись за границу кучного буфера
5. Атакующий использует переполнение кучи для перезаписи соседних структур памяти
6. Перехватывает поток управления → удалённое выполнение кода

MITRE ATT&CK:

  • T1059.007: Выполнение JavaScript
  • T1068: Повышение привилегий
  • T1499.004: Отказ в обслуживании (краш)

Правила детекции

Правило Sysmon:

<RuleGroup name="CVE-2026-3909 Detection">
  <ProcessCreate onmatch="include">
    <ParentImage condition="contains">chrome.exe</ParentImage>
    <CommandLine condition="contains">--type=renderer</CommandLine>
    <Image condition="contains">chrome.exe</Image>
  </ProcessCreate>
</RuleGroup>

Правило Suricata:

alert http any any -> $HOME_NET any (
  msg:"CVE-2026-3909 Chrome Skia Out-of-Bounds Write Attempt";
  content:"<canvas";
  http.body;
  content:"drawImage";
  http.body;
  byte_test:2,>,0,4,little;
  classtype:attempted-admin;
  sid:9003909;
  rev:1;
)

Скрипт Zeek:

event http_entity_data(c: connection, fluid_type: string, is_orig: bool, data: string) {
    if (is_orig && "canvas" in c?$http && "drawImage" in data) {
        if (|data| > 10000) {
            NOTICE([$note=CVE_2026_3909_EXPLOIT,
                    $msg="Large Canvas data with drawImage - possible Skia exploit",
                    $conn=c]);
        }
    }
}

CVE-2026-3910: V8 — неправильная реализация

Тип уязвимости: Неправильная реализация

** затронутый компонент**: Двигатель V8 JavaScript/WebAssembly

CVSS: 8.8 (Critical)

Официальное уведомление: chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_12.html

Детали CVE: nvd.nist.gov/vuln/detail/CVE-2026-3910

Проблема Chromium: issues.chromium.org/issues/491410818

CISA KEV: Включена в каталог

Затронутые версии

  • Все платформы: < 146.0.7680.80

Исправленные версии

  • Windows/Mac/Linux: 146.0.7680.80

Разбор цепочки атаки

1. Атакующий размещает страницу с malformed WebAssembly
2. Страница эксплуатирует неправильную обработку типов WASM в двигателе V8
3. Достигает выполнения произвольного кода в пределах песочницы
4. Комбинирует с другими уязвимостями или повышением привилегий ядра для побега из песочницы

MITRE ATT&CK:

  • T1059.007: Выполнение JavaScript
  • T1068: Повышение привилегий
  • T1552.001: Выгрузка учётных данных (после побега из песочницы)

Правила детекции

Правило Sysmon:

<RuleGroup name="CVE-2026-3910 Detection">
  <ProcessCreate onmatch="include">
    <ParentImage condition="contains">chrome.exe</ParentImage>
    <CommandLine condition="contains">--type=renderer</CommandLine>
  </ProcessCreate>
  <SysmonEventID=1>
    <Image condition="contains">chrome.exe</Image>
    <CommandLine condition="contains">WebAssembly</CommandLine>
  </SysmonEventID>
</RuleGroup>

Правило Suricata:

alert http any any -> $HOME_NET any (
  msg:"CVE-2026-3910 Chrome V8 WASM Exploit Attempt";
  content:"application/wasm";
  http.content_type;
  content:"getexports";
  http.request_body;
  pcre:"/\\x00\\x61\\x73\\x6d/P";
  classtype:attempted-user;
  sid:9003910;
  rev:1;
)

Скрипт Zeek:

event http_request(c: connection, method: string, original_URI: string, 
                  unescaped_URI: string, version: string) {
    if (c?$http && c$http$content_type == "application/wasm") {
        NOTICE([$note=CVE_2026_3910_EXPLOIT,
                $msg="WebAssembly content detected - review for CVE-2026-3910",
                $conn=c,
                $uid=c$uid]);
    }
}

CVE-2026-5281: Dawn/WebGPU — Use-after-Free (последняя)

Тип уязвимости: Use-after-free (висячая ссылка)

** затронутый компонент**: Dawn (кроссплатформенный уровень абстракции GPU WebGPU)

CVSS: Critical (Google подтвердила эксплуатацию в дикой природе)

Официальное уведомление: chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html

Детали CVE: nvd.nist.gov/vuln/detail/CVE-2026-5281

Проблема Chromium: issues.chromium.org/issues/491518608

CISA KEV: Включена в каталог

Обнаруживший: Анонимный исследователь (сообщено 2026-03-10)

Затронутые версии

  • Windows/Mac: < 146.0.7680.177/178
  • Linux: < 146.0.7680.177

Исправленные версии

  • Windows: 146.0.7680.178
  • Mac: 146.0.7680.177/178
  • Linux: 146.0.7680.177

Ещё 19 уязвимостей, исправленных в этом обновлении

Это обновление закрыло в общей сложности 21 уязвимость безопасности:

CVE Тип Компонент
CVE-2026-5273 Use-after-free CSS
CVE-2026-5272 Переполнение кучного буфера GPU
CVE-2026-5274 Целочисленное переполнение Кодеки
CVE-2026-5275 Переполнение кучного буфера ANGLE
CVE-2026-5276 Недостаточное применение политики WebUSB
CVE-2026-5278 Use-after-free Web MIDI
CVE-2026-5279 Повреждение объекта V8
CVE-2026-5280 Use-after-free WebCodecs
CVE-2026-5284 Use-after-free Dawn
CVE-2026-5285 Use-after-free WebGL
CVE-2026-5287 Use-after-free PDF
CVE-2026-5288 Use-after-free WebView
CVE-2026-5289 Use-after-free Navigation
CVE-2026-5290 Use-after-free Compositing

Разбор цепочки атаки

1. Атакующий размещает вредоносную веб-страницу, эксплуатирующую WebGPU API
2. Страница вызывает navigator.gpu.requestAdapter() через JavaScript
3. При обработке ресурсов GPU в слое Dawn объект освобождается преждевременно
4. JavaScript всё ещё содержит ссылку на объект и продолжает вызывать его методы
5. Атакующий перевыделяет ту же область памяти за отведённое время
6. Перезаписывает старую структуру объекта новым содержимым
7. Достигает выполнения произвольного кода в пределах песочницы

MITRE ATT&CK:

  • T1059.007: Выполнение JavaScript
  • T1068: Повышение привилегий
  • T1499.004: Отказ в обслуживании

Правила детекции

Правило Sysmon:

<RuleGroup name="CVE-2026-5281 Detection">
  <ProcessCreate onmatch="include">
    <ParentImage condition="contains">chrome.exe</ParentImage>
    <CommandLine condition="contains">--enable-unsafe-webgpu</CommandLine>
  </ProcessCreate>
  <ProcessCreate onmatch="include">
    <Image condition="contains">chrome.exe</Image>
    <CommandLine condition="contains">requestAdapter</CommandLine>
  </ProcessCreate>
</RuleGroup>

Правило Suricata:

alert http any any -> $HOME_NET any (
  msg:"CVE-2026-5281 Chrome Dawn WebGPU Exploit Attempt";
  content:"navigator.gpu.requestAdapter";
  http.request_body;
  content:"requestAdapter";
  http.uri;
  pcre:"/navigator\\.gpu\\.requestAdapter/P";
  classtype:attempted-admin;
  sid:9005281;
  rev:1;
)

Скрипт Zeek:

event http_entity_data(c: connection, fluid_type: string, is_orig: bool, data: string) {
    if (is_orig && "navigator.gpu" in data) {
        NOTICE([$note=CVE_2026_5281_EXPLOIT,
                $msg="WebGPU API usage detected - possible Dawn exploit",
                $conn=c]);
    }
}

Руководство по исправлению

Шаг 1: Проверьте текущую версию

Откройте chrome://settings/help для проверки номера версии:

  • CVE-2026-2441 требует обновления до: 145.0.7632.75/76 (Windows/Mac) или 144.0.7559.75 (Linux)
  • CVE-2026-3909/3910 требует обновления до: 146.0.7680.80
  • CVE-2026-5281 требует обновления до: 146.0.7680.177/178 (Windows/Mac) или 146.0.7680.177 (Linux)

Шаг 2: Обновите Chrome вручную

  1. Откройте Chrome
  2. Нажмите на иконку меню (⋮) в правом верхнем углу
  3. Выберите Справка → О браузере Google Chrome
  4. Браузер автоматически проверит наличие обновлений и загрузит их
  5. Нажмите Перезапустить для завершения обновления

Шаг 3: Проверьте Build ID (для корпоративных пользователей)

Откройте: chromiumdash.appspot.com/serving?filename=chrome_versions.json

Найдите полный номер версии для каждой CVE и подтвердите соответствие Build ID.

Корпоративное развёртывание

Групповая политика Windows AD:

Computer Configuration → Administrative Templates → Google → Google Chrome → Updates
Enable "Automatic Update Check Period" → установить "Daily"
Enable "Update Policy" → установить "Always Allow Updates"

macOS Jamf/MDM:

#!/bin/bash
/usr/bin/softwareupdate -v -a --force

Linux (Chef/Ansible):

# Debian/Ubuntu
sudo apt-get update && sudo apt-get install -y google-chrome-stable

# RHEL/CentOS
sudo yum update google-chrome-stable

Корпоративные меры снижения риска

1. Отключение высокорисковых функций (временное снижение)

Отключение WebGPU (до подтверждения обновления):

  • Политика Chrome: DisableWebGPU → установить в 1
  • Путь реестра: HKLM\SOFTWARE\Policies\Google\Chrome\DisableWebGPU

Отключение WebGL:

  • Политика Chrome: DisableWebGL → установить в 1

Отключение оптимизации V8 (снижение производительности, но повышение сложности эксплуатации):

  • Параметр запуска: --js-flags=--jitless

2. Усиление песочницы Chrome

--enable-namespace-sandbox
--disable-dev-shm-usage
--no-sandbox (только для тестовых сред Linux)

3. Защита на сетевом уровне

Блоклист доменов Squid Proxy:

acl BLOCK_DOMAINS dstdomain .evil.com
http_access deny BLOCK_DOMAINS

Приоритет правил IDS:

# По приоритету (меньшие номера = более высокий приоритет)
9005281 - CVE-2026-5281 Dawn/WebGPU
9003910 - CVE-2026-3910 V8 WASM
9003909 - CVE-2026-3909 Skia OOB
9002441 - CVE-2026-2441 CSS Font

4. Изоляция браузера

Рекомендуется для групп высокого риска:

  • Google Chrome Enterprise + BeyondCorp
  • Citrix Workspace + Browser Isolation
  • ZScaler Browser Isolation

Чек-лист обнаружения и реагирования

Действия в первые 72 часа

  • Подтвердить версии всех экземпляров Chrome
  • Развернуть экстренные обновления
  • Проверить применение обновлений
  • Проверить алерты SIEM/EDR

Ключевые слова для поиска (SIEM)

source=chrome "CVE-2026-5281" OR "CVE-2026-3909" OR "CVE-2026-3910" OR "CVE-2026-2441"

Рекомендации по хранению логов

  • Логи процессов Chrome: хранить 180 дней
  • Логи сетевых прокси: хранить 365 дней
  • Логи событий Sysmon: хранить 180 дней

Ссылки

Связанные инструменты

Определение отпечатков браузера и информации о GPU
Отпечаток браузера Графическая карта / GPU

Последнее обновление: 2026-04-11 | Источники данных: блог релизов Google Chrome, NVD, CISA KEV

Руководство по устранению критических уязвимостей Chrome Zero-Day 2026