Google выпустила внеплановое обновление Chrome, чтобы закрыть ещё одну уязвимость нулевого дня, которую уже используют в реальных кибератаках. Речь идёт о CVE-2026-5281 — это уже четвёртая активно эксплуатируемая 0-day в Chrome, пропатченная с начала 2026 года.
Проблема связана с компонентом Dawn, который лежит в основе кросс-платформенной реализации стандарта WebGPU в Chromium.
Уязвимость относится к классу use-after-free, такие ошибки могут приводить к падению браузера, повреждению данных и другому нестабильному поведению. Google отдельно подтвердила, что эксплойт для этой бреши уже существует «в дикой природе», но деталей самих атак пока не раскрывает.
Апдейт уже отправлено пользователям стабильной десктопной ветки Chrome. Для Windows и macOS компания распространяет версии 146.0.7680.177/178, для Linux — 146.0.7680.177.
Как обычно, выход может занять от нескольких дней до нескольких недель, хотя у части пользователей патч доступен сразу.
Google, как это часто бывает в таких случаях, временно придерживает подробности. Логика простая: пока большинство пользователей не обновились, лишние технические детали лучше не публиковать, чтобы не упростить жизнь атакующим.
Компания также отмечает, что ограничения могут сохраняться дольше, если похожая проблема есть в сторонних библиотеках, от которых зависят и другие проекты.
