Новый день — новый 0day: пользователям Chromium-браузеров сегодня лучше не открывать подозрительные сайты

В браузере Chrome обнаружили новую уязвимость нулевого дня, которую уже начали использовать в реальных атаках. Google выпустила обновление и призвала пользователей как можно быстрее установить его, чтобы снизить риски.

Речь идёт о проблеме с идентификатором CVE-2026-5281. Ошибка связана с механизмом Dawn, который реализует стандарт WebGPU и отвечает за работу с графикой в браузере. Уязвимость относится к категории use-after-free — в таких случаях злоумышленник может получить контроль над памятью и добиться выполнения произвольного кода.

По данным базы NVD, атака возможна через специально подготовленную HTML-страницу. Если злоумышленнику удаётся скомпрометировать процесс рендеринга, вредоносный код может запуститься прямо в системе пользователя. При этом подробности эксплуатации Google не раскрывает, чтобы не облегчать задачу другим атакующим.

Компания подтвердила, что уязвимость уже применяют на практике. Кто стоит за атаками и насколько они масштабны, не уточняется. Подобная закрытость стала стандартной практикой — разработчики стараются сначала распространить исправления, а уже потом делиться деталями.

С начала года Google устранила уже несколько активно используемых уязвимостей в Chrome. Ранее компания закрыла ошибки CVE-2026-3909, CVE-2026-3910 и CVE-2026-2441, каждая из которых также применялась в атаках до выхода обновлений.

Для защиты Google рекомендует установить версии Chrome 146.0.7680.177 или 146.0.7680.178 для Windows и macOS, а также 146.0.7680.177 для Linux. Обновление доступно через настройки браузера с последующим перезапуском.

Пользователям других браузеров на базе Chromium — Edge, Brave, Opera, Vivaldi и прочих — также стоит следить за выходом соответствующих обновлений и устанавливать их без задержек.