В Chrome нашли четвёртый zero-day за 2026 год — уязвимость в WebGPU уже используют в атаках

Четвёртый zero-day в Chrome за 2026 год затрагивает WebGPU. Обновите браузер — уязвимость уже эксплуатируется в реальных атаках.

Новости Tproger
Обложка: В Chrome нашли четвёртый zero-day за 2026 год — уязвимость в WebGPU уже используют в атаках

Обновите Chrome прямо сейчас — четвёртый zero-day за 2026 год уже эксплуатируется. Уязвимость CVE-2026-5281 затрагивает все версии Chrome до 146.0.7680.178 на Windows и macOS, до 146.0.7680.177 на Linux. Затронуты также Edge, Brave, Opera, Vivaldi и все Chromium-браузеры.

Use-after-free (использование после освобождения) — класс ошибок памяти, при котором программа обращается к уже освобождённому участку. В контексте браузера это позволяет атакующему выполнить произвольный код через специально подготовленную HTML-страницу.

Ключевые выводы
  • CVE-2026-5281 — use-after-free в Dawn (реализация WebGPU в Chromium), уже эксплуатируется
  • Затронуты Chrome, Edge, Brave, Opera, Vivaldi — все Chromium-браузеры
  • Google выпустила патч: Chrome 146.0.7680.177/178
  • CISA добавила в каталог обязательных исправлений с дедлайном 15 апреля 2026
  • Это 4-й активно эксплуатируемый zero-day в Chrome с начала года

Что за уязвимость

Баг находится в Dawn — open-source кроссплатформенной реализации стандарта WebGPU, которую Chromium использует для доступа к GPU. Use-after-free в Dawn позволяет атакующему, скомпрометировавшему процесс рендерера, выполнить произвольный код через сформированную HTML-страницу.

Google подтвердила, что эксплойт для CVE-2026-5281 существует и используется в реальных атаках, но не раскрыла деталей — кто стоит за эксплуатацией и каким образом уязвимость используется. Это стандартная практика: информацию публикуют после того, как большинство пользователей обновятся.

WebGPU как новая поверхность атаки

CVE-2026-5281 — не первая проблема в GPU-подсистеме Chrome. В 2026 году три из четырёх zero-day затронули компоненты, связанные с графикой и GPU-ускорением:

  • CVE-2026-2441 (февраль) — use-after-free в CSS-компоненте Chrome
  • CVE-2026-3909 и CVE-2026-3910 — два high-severity zero-day, исправленных ранее
  • CVE-2026-5281 (апрель) — use-after-free в Dawn/WebGPU

Появление WebGPU как стандартного API браузера расширило поверхность атаки: код, работающий с GPU-памятью и шейдерами, стал доступен из любой веб-страницы. Баги в этом слое особенно опасны — они дают доступ к аппаратному уровню из песочницы браузера.

Как обновить

Проверьте версию Chrome: Меню → Справка → О Google Chrome. Безопасные версии:

  • Windows и macOS: 146.0.7680.177 или 146.0.7680.178
  • Linux: 146.0.7680.177

После проверки нажмите «Перезапустить», чтобы применить обновление. Если используете Edge, Brave, Opera или Vivaldi — проверьте наличие обновлений и в них: все они построены на Chromium и подвержены той же уязвимости.

Реакция CISA

CISA добавило CVE-2026-5281 в каталог Known Exploited Vulnerabilities (KEV) 1 апреля 2026 года. Все федеральные агентства обязаны применить патч до 15 апреля 2026. Для остальных организаций каталог KEV — ориентир: если CISA считает уязвимость достаточно серьёзной для обязательного исправления, стоит последовать.

Часто задаваемые вопросы
1
Мой Chrome обновляется автоматически — я в безопасности?

Обычно да, но автообновление может задержаться. Проверьте версию вручную: Меню → Справка → О Google Chrome. Если версия ниже 146.0.7680.177 — обновите.

2
Затрагивает ли это мобильный Chrome?

Google не упомянула мобильные версии в данном бюллетене. Уязвимость в Dawn/WebGPU прежде всего затрагивает десктопные версии, где WebGPU активен по умолчанию.

3
Я использую Firefox — мне это угрожает?

Нет. Firefox использует собственную реализацию WebGPU (wgpu на Rust), а не Dawn. Уязвимость специфична для Chromium-проектов.

4
Что такое Dawn и WebGPU?

WebGPU — новый веб-стандарт для доступа к GPU из браузера, пришедший на смену WebGL. Dawn — open-source библиотека Google, реализующая WebGPU в Chromium. Через Dawn любая веб-страница может запускать вычисления на видеокарте.

5
Четыре zero-day за 4 месяца — это много?

Для Chrome это выше среднего. В 2025 году Google исправила 10 zero-day за весь год. Четыре за первый квартал 2026-го — тревожная динамика, особенно с учётом концентрации в GPU-подсистеме.

Выводы

Четвёртый zero-day в Chrome за 2026 год — и третий, связанный с графической подсистемой. WebGPU открывает новые возможности для веб-разработки, но одновременно создаёт поверхность атаки, которой раньше не существовало. Обновите браузер, проверьте Chromium-форки, и если вы администрируете инфраструктуру — добавьте KEV-каталог CISA в свой процесс патч-менеджмента.

Источники: The Hacker News | SOCRadar

В этой статье
  1. Ключевые выводы
  2. Что за уязвимость
  3. WebGPU как новая поверхность атаки
  4. Как обновить
  5. Реакция CISA
  6. Часто задаваемые вопросы
  7. Выводы
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter