Основы Интернет - технологий.

Инженеры Google выпустили экстренные обновления для браузера Chrome, устраняющие 74 уязвимости. Среди исправленных проблем — уязвимость нулевого дня CVE-2026-11645, которую злоумышленники уже эксплуатируют в реальных атаках. 0-day получила 8,8 балла по шкале CVSS и затрагивает движок V8, отвечающий за выполнение jаvascript и WebAssembly. Уязвимость представляет собой проблему out-of-bounds чтения-записи. Так, если жертва откроет специально подготовленную HTML-страницу, атакующий получит возможность добиться выполнения произвольного кода внутри песочницы браузера. Уязвимость обнаружил независимый исследователь под псевдонимом 303f06e3, который сообщил о ней Google еще 27 апреля 2026 года. Сообщается, что за ответственное раскрытие информации о баге специалист получил вознаграждение в размере 55 000 долларов США. Представители Google предупреждают, что уязвимость нулевого дня уже используется хакерами, однако пока не раскрывают никаких деталей атак. В компании объясняют, что доступ к технической информации о проблеме и ее эксплуатации останется ограниченным до тех пор, пока большинство пользователей не установит патчи. По данным исследователей, CVE-2026-11645 позволяет не только читать и записывать данные за пределами буфера памяти. Успешная эксплуатация также может привести к повреждению хипа, утечке конфиденциальной информации и аварийному завершению работы браузера. Кроме того, баг потенциально помогает обходить механизмы защиты (такие как ASLR), упрощая последующее выполнение кода через другие уязвимости. Исправления уже доступны для пользователей Chrome в Windows и Linux — им следует обновиться до версии 149.0.7827.102, а также для пользователей macOS — в версии 149.0.7827.103. Отметим, что CVE-2026-11645 стала уже пятой 0-day-уязвимостью, исправленной в браузере Google в 2026 году. Первым был баг CVE-2026-2441 — ошибка в CSSFontFeatureValuesMap, которую устранили в середине февраля. Затем в марте разработчики закрыли сразу две уязвимости (CVE-2026-3909 и CVE-2026-3910) в V8 jаvascript и WebAssembly, а также в Skia — опенсорсной библиотеке 2D-графики, которая отвечает за рендеринг веб-контента и элементов интерфейса в Chrome. Четвертая уязвимость (CVE-2026-5281), исправленная в апреле, была связана с use-after-free багом в Dawn — кроссплатформенной реализации стандарта WebGPU, которую использует Chromium. Для сравнения: за весь 2025 год в Google закрыли восемь уязвимостей нулевого дня, и многие из них обнаружила команда Google Threat Analysis Group (TAG), специализирующаяся на отслеживании шпионского ПО.