Компания Google выпустила критическое обновление безопасности для браузера Chrome, исправляющее две уязвимости нулевого дня (zero-day), которые уже активно эксплуатируются злоумышленниками. Под угрозой оказались более 3,5 миллиардов пользователей на Windows, Mac и Linux.

Специалисты Google обнаружили обе проблемы внутри компании. Уязвимости имеют высокий уровень опасности и затрагивают основные компоненты браузера. Компания ограничивает доступ к техническим деталям до тех пор, пока большинство пользователей не установит патч.

CVE-2026-3909 представляет собой ошибку выхода за границы памяти в библиотеке графики Skia, которая отвечает за отрисовку интерфейса и веб-контента. По данным Malwarebytes, она позволяет выполнить произвольный код, если пользователь посетит вредоносную страницу. Вторая уязвимость, CVE-2026-3910, связана с некорректной реализацией в движке JavaScript и WebAssembly V8. Хакеры могут использовать специально созданную HTML-страницу для выполнения кода внутри песочницы браузера.

Экстренный патч вышел всего через 48 часов после предыдущего планового обновления от 10 марта, которое содержало 29 исправлений. Статус zero-day подтверждает, что атаки начались до того, как разработчики узнали о проблеме. Предыдущее обновление безопасности было опубликовано 3 марта.

Для борьбы с растущим числом угроз компания меняет подход к выпуску исправлений. Начиная с Chrome 153, Google переходит на двухнедельный график выпуска стабильных обновлений, что удваивает интервал между выпусками обновлений.

Для защиты систем пользователям необходимо проверить версию Chrome через меню «Справка» — «О браузере Google Chrome». Актуальные сборки с исправлениями получили номера 146.0.7680.75/76 для Windows и Mac, а также 146.0.7680.75 для Linux. Загрузка патча начинается автоматически при открытии этого раздела настроек.

Для активации защиты обязателен перезапуск браузера после завершения загрузки. Проверить наличие обновлений рекомендуется также пользователям других браузеров на движке Chromium, включая Edge, Brave и Opera.