„Chrome“ nulinės dienos „WebGPU“: kas nutinka ir kaip apsisaugoti

Naujausias pažeidžiamumas „Chrome“ nulinės dienos „WebGPU“ Tai sukėlė pavojaus signalą kibernetinio saugumo pasaulyje. Kalbame ne apie nedidelį trūkumą, o apie kritinę „Dawn“ klaidą – sluoksnį, kurį „Chrome“ naudoja bendraudama su GPU per naująjį „WebGPU“ standartą, ir kuriuo aktyviai naudojasi užpuolikai. Jei naudojate „Chrome“ ar bet kurią kitą „Chromium“ pagrindu veikiančią naršyklę, tai tiesiogiai paveikia jus.

„Google“ turėjo paleisti skubus saugos atnaujinimas Šiai pažeidžiamumui, oficialiai kataloguotam kaip CVE-2026-5281, uždaryti skirta problema ne tik leidžia naršyklei užstrigti, bet ir atveria duris kodo vykdymui ir, potencialiai, paprastos kenkėjiškos svetainės apeinamam naršyklės „smėlio dėžei“. Jei dar nepatikrinote savo naršyklės versijos, dabar pats laikas tai padaryti.

Koks yra „Chrome“ nulinės dienos pažeidžiamumas „WebGPU“ aplinkoje (CVE-2026-5281)?

Pažeidžiamumas, dėl kurio suveikė visi įspėjimai, identifikuojamas kaip CVE-2026-5281Tai „Dawn“ bibliotekos, kuri „Chromium“ sistemoje įgyvendina „WebGPU“, pažeidžiamumas, atsirandantis dėl naudojimo po atlaisvinimo. Paprasčiau tariant, naršyklė ir toliau naudoja dalį atminties po to, kai ji atlaisvinama, o tai tokiame jautriame komponente kaip grafikos sluoksnis gali sukelti atminties sugadinimą ir savavališką kodo vykdymą.

Šis pažeidimas tiesiogiai paveikia Aušra, GPU abstrakcija „Dawn“, kurį naudoja „Chrome“ ir kitos „Chromium“ pagrindu sukurtos naršyklės, „WebGPU API“ iškvietimus verčia į konkrečias GPU instrukcijas kiekvienai platformai. Jei šis sluoksnis netinkamai valdo atmintį, užpuolikas gali pasinaudoti šiuo trūkumu, kad manipuliuotų vidiniais duomenimis ir perimtų naršyklės proceso valdymą.

Nutarimas yra priimamas aktyviai eksploatuojamas „gamtoje“„Google“ tai aiškiai pripažino savo saugumo patarime. Tai reiškia, kad susiduriame ne su teorine laboratorijoje aptikta klaida, o su realiu spragų išnaudojimu, jau naudojamu atakoms, tikriausiai per kenkėjiškas svetaines arba pažeistas teisėtas svetaines.

Dėl visų šių priežasčių „Google“ šią problemą klasifikavo kaip labai didelis kritiškumas savo biuletenyje, o kelios agentūros, tokios kaip CISA, nedelsdamos įtraukė jį į savo žinomų išnaudotų pažeidžiamumų katalogus, nustatydamos griežtus terminus viešojo administravimo institucijoms jas pataisyti.

Techniniu požiūriu, „use-after-free“ („naudok po laisvo“) principas „Dawn“ sistemoje leidžia, manipuliavus grafikos srautu, sugadintos atminties struktūros susiję su atvaizdavimo procesu. Tinkamai suprojektavus, tai galima sujungti, kad būtų vykdomas savavališkas kodas, ištrūkta iš smėlio dėžės arba bent jau sukelti kontroliuojamus naršyklės gedimus kurie tarnauja kaip atrama kitoms atakoms.

„Google“ palaiko ribotos techninės detalės apie klaidą ir panaudotą spragą. Tai įprasta strategija: informacija slepiama, kol atnaujinimus atlieka kritinė masė vartotojų, todėl kitiems grėsmių veikėjams sunku lengvai pakartoti ataką, kol platinamas pataisymas.

„Chrome“ atnaujinimas ir paveiktos versijos

Siekdama apriboti nulinės dienos pažeidžiamumo poveikį „WebGPU“, „Google“ paskelbė skubus „Chrome“ atnaujinimas Šis atnaujinimas atnaujina naršyklę į 146.0.7680.177/178 versiją, priklausomai nuo platformos. Tai prioritetinis saugos atnaujinimas, o ne įprastas leidimas, ir jis ištaiso iš viso 21 pažeidžiamumą, įskaitant CVE-2026-5281.

Paveiktos versijos apima „Chrome“ stabilus kanalas įvairiose operacinėse sistemose. Tiksliau sakant, visos versijos, ankstesnės nei šios, laikomos pažeidžiamomis:

• Stabili „Chrome“ versija < 146.0.7680.177 „Linux“.
• Stabili „Chrome“ versija < 146.0.7680.178 „Windows“ ir „MacOS“.

Vidiniame biuletenyje taip pat minima versijų linija, skirta įmonių aplinkai ir konkretiems platinimams, tačiau praktinė žinutė aiški: jei jūsų naršyklė nepasiekė bent jau šaka 146.0.7680.177/178, laikomas atviru.

Atnaujinimas ne tik ištaiso nulinės dienos problemą „Dawn“ žaidime, bet ir sprendžia šiuos klausimus: Iš viso 21 saugumo spragaDauguma šių pažeidžiamumų yra labai rimti. Tačiau CVE-2026-5281 išsiskiria tuo, kad juo aktyviai naudojamasi ir jis paveikia tokį jautrų komponentą kaip tiesioginė GPU sąveika per WebGPU.

Svarbu nepamiršti, kad „Chrome“ atsisiunčia fono atnaujinimaiTačiau šie atnaujinimai neįsigalioja iki galo, kol naršyklė nebus paleista iš naujo. Daugelis žmonių mano, kad yra apsaugoti vien dėl to, kad „Chrome“ atnaujinama automatiškai, nors iš tikrųjų jie galėjo naudoti naršyklę kelias dienas jos nepaleidę iš naujo ir pataisos diegimas dar nebuvo baigtas.

Kitos klaidos, ištaisytos kartu su nulinės dienos spragomis WebGPU

Versija, kuri ištaiso „Chrome“ nulinės dienos pažeidžiamumą „WebGPU“, pateikiama su gera sauja pleistrų Iš viso „Google“ pripažino 21 šiame etape pašalintą pažeidžiamumą, o svarbų vaidmenį atliko atminties problemos įvairiose naršyklės dalyse.

Tarp didelio masto gedimų yra daug naudojimas po atlaisvinimo ir buferio perpildymas kritiniuose komponentuose. Supaprastintas atitinkamų pažeidžiamumų sąrašas, be kita ko, apima:

• CVE-2026-5273: „use-after-free“ CSS variklyje.
• CVE-2026-5272: buferio perpildymas GPU komponente.
• CVE-2026-5274: sveikojo skaičiaus perpildymas kodekų modulyje.
• CVE-2026-5275: kaupo buferio perpildymas ANGLE (grafikos suderinamumo sluoksnyje).
• CVE-2026-5276Nepakankama vykdymo politika „WebUSB“.
• CVE-2026-5278: „use-after-free“ žiniatinklio MIDI sistemoje.
• CVE-2026-5279: objektų sugadinimas V8 variklyje.
• CVE-2026-5280: „use-after-free“ žiniatinklio kodekuose.
• CVE-2026-5284: naujas naudojimas po nemokamo naudojimo Aušroje.
• CVE-2026-5285: „use-after-free“ WebGL kalboje.
• CVE-2026-5287: PDF atvaizdavimo įrankyje naudojama „use-after-free“ funkcija.
• CVE-2026-5288: „use-after-free“ funkcija „WebView“ funkcijoje.
• CVE-2026-5289: „use-after-free“ navigacijos sluoksnyje.
• CVE-2026-5290: nenaudojamas po naudojimo sudėties kūrimo procese.

Kaip matote, didelė dalis problemų sutelktos atvaizdavimo ir grafikos posistemiaiGPU, WebGL, Dawn, ANGLE, PDF, WebView, CSS… Šios sritys istoriškai buvo aukso kasykla tyrėjams ir užpuolikams dėl jų logikos sudėtingumo ir nuolatinės sąveikos su nepatikimais duomenimis iš tinklalapių.

Taip pat verta dėmesio yra buvimas V8 pažeidžiamumai („JavaScript“ ir „WebAssembly“ varikliai) ir su multimedija bei įrenginiais susijusiose technologijose, tokiose kaip „WebCodecs“, „WebUSB“ arba „WebMIDI“. Bet kuris iš šių elementų kartu su „WebGPU“ nulinės dienos išleidimu galėtų tapti sudėtingesnių spragų išnaudojimo grandinių dalimi.

Be šių itin rimtų trūkumų, „Google“ nurodo dar du pažeidžiamumus Vidutinio lygio WebGL ir WebCodecsNors jų izoliuotas poveikis gali būti mažesnis, dabartinėje ekosistemoje užpuolikai dažnai derina skirtingo lygio pažeidžiamumus, kad sukurtų patikimesnius pažeidžiamumus ir apeitų platformos apsaugą.

Naujausi „Chrome“ nulinės dienos atakų modeliai

CVE-2026-5281 atvejis nėra pavienis incidentas. Tai jau yra Ketvirtoji „Chrome“ nulinė diena kurį „Google“ iki šiol ištaisė šiais metais, aiškiai parodydama, kad naršyklė patiria nuolatinį spaudimą iš pažangių grėsmių veikėjų, dažnai susijusių su šnipinėjimo programų kampanijomis ar tikslinėmis atakomis.

Kiti 2026 m. aktyviai išnaudoti pažeidžiamumai yra šie:

• CVE-2026-2441: CSS dalyje (CSSFontFeatureValuesMap) esanti „use-after-free“ atributo versija, pataisyta vasario viduryje.
• CVE-2026-3909: už ribų rašoma „Skia“, „Chrome“ 2D grafikos bibliotekoje, naudojant 8,8 CVSS.
• CVE-2026-3910: V8 JavaScript variklio ir WebAssembly diegimo klaida, taip pat su CVSS 8,8.

Išryškėjęs modelis yra gana aiškus: atminties pažeidžiamumai (naudojimas po laisvo paleidimo, ribų neviršijimas, perpildymas), kurios pirmiausia veikia grafikos sluoksnį („Skia“, „Dawn“) ir kodo vykdymo variklį (V8). Tai iš esmės yra klaidų, kurių tokios kalbos kaip „Rust“ bando išvengti, naudodamos savo atminties saugos modelį.

„Google“ reklamavo Svarbiausių „Chrome“ komponentų perrašymas „Rust“ naršyklėjeTai daroma būtent siekiant sumažinti tokio tipo klaidas. Tačiau grafikos paketas ir tam tikros naršyklės dalys vis dar naudoja didelius kiekius senojo C/C++ kodo, kur atminties klaidų paieška naudojant „fuzzers“ ir pažangius metodus tapo kone aukšto lygio sportu tarp tyrėjų ir atakų grupių.

Konkrečiu „Dawn“ ir „WebGL“ atveju tyrėjas, identifikuojamas vien pagal maišos kodą 86ac1f1587b71893ed2ad792cd7dde32 Per labai trumpą laiką buvo pranešta apie keletą kritinių pažeidžiamumų, įskaitant CVE-2026-4675 ir CVE-2026-4676, kurie buvo pataisyti iki kovo pabaigos. Trys pagrindiniai GPU srities trūkumai per tokį trumpą laiką rodo, kad šioje posistemėje buvo vykdoma itin tikslinė analizė ir klaidinimo kampanija.

Be naršyklių, bendra situacija taip pat nedžiugina: plinta ir kitos rimtos nulinės dienos pažeidžiamumo atakos, pavyzdžiui, „Windows“ pažeidžiamumo išnaudojimas, pravarde „BlueHammer“ galintis padidinti SYSTEM privilegijas per mažiau nei minutę be prieinamo pataisymo. Visa tai sustiprina mintį, kad kritinių pažeidžiamumų aptikimo ir išnaudojimo tempas artimiausiu metu nesulėtės.

Praktinė nulinių dienų rizika WebGPU

Vartotojo ar organizacijos požiūriu nerimą kelia tai, ką užpuolikas gali gauti iš šio pažeidžiamumo. CVE-2026-5281 atveju „Dawn“ klaida suteikia užpuolikams tiesioginis maršrutas iš kenkėjiškos svetainės link kodo vykdymo naršyklės kontekste, nereikalaujant papildomos sąveikos, išskyrus apsilankymą puslapyje.

„WebGPU“ iš esmės yra šiuolaikinis „WebGL“ įpėdinis. Jo tikslas – leisti tinklalapiams efektyviai pasiekti GPU 3D vaizdavimui, sudėtingiems vaizdo efektams, dirbtinio intelekto modelių išvadoms ir skaičiavimo reikalaujančioms užduotims. Ši galia taip pat reiškia didelį atakų paviršių: bet kokia klaida, susijusi su išteklių, komandų eilių ar buferių valdymu, gali turėti rimtų pasekmių.

Tokiu atveju užpuolikas, kuris jau kontroliuoja atvaizdavimo procesą arba kuris sugeba jį nukreipti į konkrečią būseną naudodamas kruopščiai sukurtą HTML ir „JavaScript“, gali priverstinai sugadintos atminties sąlygos GPU sraute. Tuomet reali galimybė yra vykdyti savavališką kodą, išplėsti teises naršyklėje arba apeiti „smėlio dėžės“ apsaugas.

Tipinis išnaudojimo scenarijus būtų toks: pravažiuojantis puolimasVartotojas patenka į kenkėjišką puslapį (arba teisėtą svetainę, kuri buvo pažeista) per sukčiavimo kampaniją, socialinių tinklų nuorodas, kenkėjiškus skelbimus (nepageidaujamą reklamą) arba tiesiogines žinutes. Vien puslapio įkėlimo pakanka, kad išnaudojimo programa bandytų pasinaudoti „Dawn“ pažeidžiamumu.

Įmonių aplinkoje šis pažeidžiamumas kartu su kitais operacinės sistemos ar įdiegtų programų trūkumais gali palengvinti šoninis judėjimas tinkleTai apima prisijungimo duomenų vagystę arba šnipinėjimo programų ir nuotolinės prieigos įrankių platinimą. Tai ypač svarbu organizacijose, kurios tvarko konfidencialią informaciją, viešojo administravimo įstaigose arba įmonėse, kuriose saugomi jautrūs klientų duomenys.

Paveiktos naršyklės ir platformos

Nors dėmesys sutelktas į „Google Chrome“, realybė tokia, kad „Chromium“ kodų bazė Jis pakartotinai naudojamas daugelyje kitų naršyklių. „Dawn“, komponentas, įgyvendinantis „WebGPU“, yra šios bendros bazės dalis, todėl CVE-2026-5281 poveikis neapsiriboja vien „Google“ naršykle.

Naršyklės, kurios gali būti paveiktos iki jų atnaujinimo:

• "Google Chrome" (visi variantai pagrįsti „Chromium Stable“).
• "Microsoft kraštas, kuri turi didelę dalį „Chromium“ bazės.
• Narsus, orientuotas į privatumą, bet varomas to paties variklio.
• Vivaldi, kuri jau paskelbė apie greitą atnaujinimą po „Google“ pataisos.
• Opera ir arkatarp kitų naršyklių, kurios naudoja „Chromium“.

Kalbant apie operacines sistemas, gedimas paveikia naudotojus, „Windows“, „MacOS“ ir „Linux“„Dawn“ komponentas veikia visose šiose platformose, pritaikydamas „WebGPU“ iškvietimus atitinkamai grafikos sistemai. Pagrindinis skirtumas yra versijų numeracija: 146.0.7680.177 šaka apima „Linux“, o „Windows“ ir „macOS“ sistemose ji atitinka 146.0.7680.177 arba 146.0.7680.178, priklausomai nuo platinimo.

CISA žengė dar toliau, įtraukdama CVE-2026-5281 į savo katalogą. Žinomas išnaudotas pažeidžiamumas (KEV)JAV federalinėms agentūroms buvo nustatytas terminas (balandžio 15 d.) įdiegti pataisą. Ši priemonė pabrėžia, kad tai ne nedidelė klaida, o pažeidžiamumas, kuriuo aktyviai naudojamasi realiose kampanijose.

Taip pat verta paminėti, kad daugelyje programų integruotos įterptosios naršyklės, pagrįstos „WebView“ arba „Chromium“ varikliaiJei šios programos nebus atnaujinamos tokiu pat tempu kaip ir pagrindinė naršyklė, jos gali ir toliau turėti pažeidžiamas versijas ir tapti mažiau akivaizdžiu atakų vektoriumi.

Rekomendacijos ir rizikos mažinimo priemonės

Praktiniu lygmeniu svarbiausia priemonė yra kuo greičiau atnaujinkite naršyklęAutomatinio proceso paleidimas gali užtrukti kelias dienas ar net savaites, per kurias naršyklė išlieka pažeidžiama aktyvių atakų.

„Chrome“ atveju rekomenduojama pereiti rankiniu būdu "Chrome: // nustatymus / Pagalba (arba Meniu > Žinynas > Apie „Google Chrome“) ir patikrinkite įdiegtą versiją. „Linux“ sistemoje turėtų būti rodoma bent 146.0.7680.177 šaka, o „Windows“ ir „macOS“ – 146.0.7680.177/178. Jei naršyklė pradeda atsisiųsti atnaujinimą, palaukite, kol jis bus baigtas, ir tada visiškai paleiskite ją iš naujo.

Kitų „Chromium“ pagrindu sukurtų naršyklių atveju verta patikrinti jų savo atnaujinimų kanalus ir įdiegti pataisymus, kai tik jie bus prieinami. „Edge“, „Brave“, „Vivaldi“ ir „Opera“ paskelbė pranešimus, integruodamos „Chromium“ pakeitimus, todėl labai svarbu užtikrinti, kad nė viena naršyklė neliktų neatnaujinta.

Verslo ar viešojo administravimo aplinkoje idealus būdas platinti pataisą yra per centralizuotos politikos (GPO sistemoje „Windows“, galinių taškų valdymo įrankiai, MDM sprendimai ir kt.). Taip išvengiama kiekvieno vartotojo individualaus atnaujinimo poreikio ir galima centralizuotai patikrinti įrenginių parko pataisų lygį.

Kol atnaujinimas baigiamas, ir apskritai, prasminga sustiprinti skaitmeninės higienos priemonės Pagrindai: būkite itin atsargūs su nuorodomis, gautomis el. paštu ar žinutėmis, apribokite prieigą prie nežinomų svetainių. Venkite diegti plėtinius iš abejotinų šaltinių ir valdyti išorinių įrenginių, kurie gali atidaryti žiniatinklio turinį, naudojimą.

Organizacijos, kurios apdoroja ypač jautri informacijaKaip ir daugelis Lotynų Amerikos įmonių bei organizacijų, jos turėtų naršyklių pataisymus vertinti taip pat skubiai, kaip ir operacinių sistemų pataisymus. Šiuo metu naršyklės yra pagrindinis sukčiavimo atakų, kenkėjiškų programų ir nuotolinių pažeidžiamumų išnaudojimo taškas.

Galiausiai, patartina nustatyti vidinį procesą, skirtą stebėti oficialius šaltinius pvz., „Chrome“ leidimai, CISA rekomendacijos (KEV katalogas) arba gamintojų biuleteniai. Informavimas keliomis dienomis iš anksto gali lemti, ar būsite pažeidžiami kritiniu laikotarpiu, ar išvengsite masinio išnaudojimo bangos.

„Chrome“ nulinės dienos „WebGPU“ pažeidžiamumas iliustruoja, kiek šiuolaikinės naršyklės tapo pagrindiniu bet kurios sistemos saugumo komponentu: paprastas atminties gedimas grafikos komponente, tokiame kaip „Dawn“, gali atverti tiesioginį kelią iš tinklalapio į kodo vykdymą kompiuteryje, o vienintelė reali gynyba daugumai vartotojų yra nuolat atnaujinti naršyklę ir manyti, kad kiekvienas naujas svarbus pataisymas nusipelno neatidėliotino dėmesio.

Susijęs straipsnis:

„Chrome“ aptiktas rimtas pažeidžiamumas, kuriuo pasinaudojo kibernetiniai užpuolikai

Izaokas

Aistringas rašytojas apie baitų pasaulį ir technologijas apskritai. Man patinka dalytis savo žiniomis rašydamas, būtent tai ir darysiu šiame tinklaraštyje, parodysiu jums įdomiausius dalykus apie programėles, programinę įrangą, techninę įrangą, technologijų tendencijas ir kt. Mano tikslas – padėti jums paprastai ir smagiai naršyti skaitmeniniame pasaulyje.