Разработчики Google выпустили экстренное обновление для браузера Chrome, закрывающее 0-day уязвимость CVE-2026-5281, которую уже эксплуатировали в реальных атаках.
Уязвимость, получившая идентификатор CVE-2026-5281, связана с use-after-free в Dawn — кроссплатформенной реализации стандарта WebGPU, которую использует Chromium. Подобные ошибки позволяют вызвать сбой в работе браузера, добиться повреждения данных, проблем с рендерингом, а также другого аномального поведения. На практике подобные уязвимости нередко применяются для побега из песочницы или выполнения произвольного кода.
«Google стало известно, что эксплоит для CVE-2026-5281 уже применяется в реальных атаках», — говорится в бюллетене безопасности компании.
Подробностей об атаках в Google пока не раскрывают. В компании традиционно не разглашают деталей проблемы до тех пор, пока большинство пользователей не установят патч. Аналогичные ограничения действуют, если уязвимость затрагивает сторонние библиотеки, от которых зависят другие проекты.
Сообщается, что свежую 0-day обнаружил анонимный исследователь, который также нашел другую use-after-free проблему высокой степени серьезности в Dawn (CVE-2026-5284). Однако этот баг, судя по всему, в реальных атаках не применялся.
В общей сложности выпущенное обновление для Chrome устраняет 21 уязвимость, включая 19 багов высокой и два средней степени серьезности.
Исправленные версии уже доступны в канале Stable Desktop: 146.0.7680.177/178 для Windows и macOS, а также 146.0.7680.177 для Linux.
Эта уязвимость нулевого дня в Chrome стала уже четвертой исправленной в этом году. Первым был баг CVE-2026-2441 — ошибка в CSSFontFeatureValuesMap, которую устранили в середине февраля. Затем в марте разработчики закрыли сразу две уязвимости (CVE-2026-3909 и CVE-2026-3910) в V8 JavaScript и WebAssembly, а также в Skia — опенсорсной библиотеке 2D-графики, которая отвечает за рендеринг веб-контента и элементов интерфейса в Chrome.
Для сравнения: за весь 2025 год в Google закрыли восемь уязвимостей нулевого дня, и многие из них обнаружила команда Google Threat Analysis Group (TAG), специализирующаяся на отслеживании шпионского ПО.
