Google экстренно закрыл пятую уязвимость нулевого дня в Chrome — атаки уже идут

Злоумышленники могут использовать это нарушение безопасности памяти, создав специальную вредоносную HTML-страницу. Когда жертва открывает ее в непропатченном браузере, атакующий получает возможность выполнить произвольный код внутри «песочницы» Chrome . Уязвимость имеет рейтинг опасности 8.8 по шкале CVSS, что соответствует «высокому» уровню угрозы . На практике это означает, что злоумышленник может запустить вредоносный код на вашем компьютере с правами браузерного процесса — этого часто достаточно для кражи данных, установки троянов или подготовки плацдарма для более глубокой атаки на систему. Подобные уязвимости также часто используются для обхода ASLR — технологии защиты адресного пространства, усложняющей хакерам задачу компрометации .

Детали патча и сроки

Экстренный патч был выпущен для десктопной стабильной ветки Chrome 8 июня 2026 года в рамках масштабного обновления, закрывающего сразу 74 проблемы безопасности . Google официально подтвердил, что эксплойт для CVE-2026-11645 «существует в дикой природе» (на профессиональном жаргоне это означает его активное применение в реальных кибератаках) . Это делает обновление критически срочным для всех, кто пользуется Chrome на компьютере.

Версии браузера с исправлением:

• Windows и macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Как обычно, обновление распространяется постепенно в течение нескольких дней или даже недель. Однако вы можете не ждать официальной очереди, а принудительно запустить проверку: для этого нужно открыть меню Chrome (три точки в правом верхнем углу), перейти в Справка > О браузере Google Chrome. Браузер сам найдет и установит актуальную версию.

Вознаграждение за находку и раскрытие

Уязвимость обнаружил и сообщил о ней компании Google 27 апреля 2026 года независимый исследователь безопасности под псевдонимом «303f06e3» . Google выплатил ему вознаграждение в размере $55 000 по программе Chrome Vulnerability Rewards Program — это стандартная сумма за столь серьезные баги, связанные с повреждением памяти в движке V8 . Информация о точной сумме награды традиционно появляется в сводках по безопасности, но официальный блог Chrome Releases не всегда детализирует выплаты по каждой отдельной уязвимости .

Картина 2026 года: пять уязвимостей за полгода

С CVE-2026-11645 количество исправленных в этом году уязвимостей нулевого дня в Chrome достигло пяти — и это только к началу июня . Полный список на сегодняшний день выглядит так:

• CVE-2026-2441 (февраль 2026): Уязвимость «использование после освобождения» (use-after-free) в компоненте обработки CSS. Позволяла удаленно выполнить код внутри «песочницы» через вредоносную страницу .
• CVE-2026-3909 (12 марта 2026): Ошибка записи за пределами буфера в библиотеке 2D-графики Skia, которая лежит в основе отрисовки контента в Chrome .
• CVE-2026-3910 (12 марта 2026): Некорректная реализация в самом движке V8, позволявшая выполнять произвольный код внутри «песочницы» браузера. Была закрыта тем же обновлением, что и CVE-2026-3909 .
• CVE-2026-5281 (1 апреля 2026): Уязвимость типа use-after-free в Dawn — кросс-платформенной реализации WebGPU, отвечающей за высокопроизводительную графику. Агентство кибербезопасности США (CISA) настолько высоко оценило её опасность, что внесло в федеральный каталог известных эксплуатируемых уязвимостей и обязало госорганы отчитаться о закрытии в кратчайшие сроки .
• CVE-2026-11645 (июнь 2026): Уязвимость чтения и записи за пределами буфера в V8, закрытая в этом экстренном обновлении .

Во всех пяти случаях вредоносное использование багов было подтверждено еще до выхода официальных патчей. Это тревожная динамика, которая может вывести 2026 год в «лидеры» по числу успешных атак нулевого дня на браузер Google. Многие профильные издания, освещающие проблему, отмечают, что теперь ежемесячные бюллетени безопасности практически всегда включают как минимум одну активно эксплуатируемую уязвимость, что требует от системных администраторов перехода на гораздо более сжатые циклы обновления всего парка корпоративных браузеров .

Что делать прямо сейчас

Chrome обычно обновляется сам в фоновом режиме, но автоматическое развертывание заплатки может занять несколько дней. Чтобы защитить себя немедленно:

1. Откройте браузер Chrome.
2. Нажмите на значок с тремя точками в правом верхнем углу.
3. Выберите Справка > О браузере Google Chrome.
4. Браузер проверит наличие обновлений и сразу же начнет их установку.

Убедитесь, что после обновления номер версии вашего браузера совпадает с указанным: 149.0.7827.102 или выше для Windows и Linux, и 149.0.7827.103 или выше для macOS . Системным администраторам в организациях настоятельно рекомендуется проверить все конечные точки и принудительно ускорить развертывание этого внепланового патча. Статус активно эксплуатируемой уязвимости означает, что любое устройство с более старой версией Chrome прямо сейчас уязвимо для реальных кибератак.