Стежити 
Нульові дні вразливостей у Chrome продовжують бути серйозним ризиком для кіберзахисників. Раніше цього року Google виправив CVE-2026-2441, перший активно експлуатований нульовий день у Chrome у 2026 році. Тепер було випущено ще одне екстрене оновлення, яке виправляє ще два вразливості, які вже експлуатуються у дикій природі, CVE-2026-3910 в JavaScript і WebAssembly двигуні V8 Chrome та CVE-2026-3909, помилку поза межами запису в Skia.
Google описує CVE-2026-3910 як проблему неправильної реалізації в Chrome V8. По суті, спеціально сформована HTML-сторінка може дозволити віддаленому атакувачу виконати довільний код у пісочниці браузера.
Останнє екстрене оновлення Chrome вийшло проти зростаючої загрози нульових днів. Група Google Threat Intelligence відстежила 90 нульових днів експлуатованих у дикій природі у 2025 році, у порівнянні з 78 у 2024 році, та виявила, що корпоративні технології склали 43 випадки, або рекордні 48% спостережуваного експлуатації.
Зареєструйтесь на AI-рідну платформу виявлення загроз SOC Prime, яку підтримують передові технології та провідний кібербезпековий досвід для масштабування кіберзагроз і побудови стійкої кібербезпекової позиції. Натисніть Ознайомтеся з виявленнями , щоб отримати доступ до всебічної колекції контенту SOC для виявлення експлуатації вразливостей, відфільтрованого за спеціальним тегом «CVE».
Виявлення з присвяченого набору правил можуть бути застосовані в 40+ платформах SIEM, EDR та Data Lake і відображені на останню рамку MITRE ATT&CK® версію 18.1. Команди безпеки також можуть використовувати Uncoder AI для прискорення створення виявлення end-до-кінця шляхом генерації правил безпосередньо з звітів про реальні загрози, уточнення та перевірки логіки виявлення, автоматичного візуалізації потоків атак, перетворення IOC в кастомні запити полювання та миттєвого перекладу коду виявлення на різні формати мов. converting IOCs into custom hunting queries, and instantly translating detection code across diverse language formats.
Аналіз CVE-2026-3910
Згідно з рекомендацією з безпеки від Google, CVE-2026-3910 є вразливістю високого ступеня в енджині V8, який використовується в Chrome. Її можна активувати через спеціально сформовану HTML-сторінку і вона може дозволити виконання довільного коду в пісочниці браузера. Оскільки V8 обробляє активний вміст під час нормального перегляду, експлуатація може початися з просто відвідання злочинного чи компрометованого вебсайта.
Ризик є суттєвим, оскільки Chrome глибоко інтегрований у повсякденну роботу підприємств. Активно експлуатована вразливість V8 може перетворити звичайний перегляд на шлях для крадіжки облікових даних, привнесення зловмисного коду або ширшого компрометування, особливо при поєднанні з іншими помилками або фішингом.
Google підтвердив, що CVE-2026-3910 експлуатується у дикій природі, але не публікував технічних подробиць щодо ланцюга експлуатації.
Те ж оновлення Chrome також виправило CVE-2026-3909, високо небезпечну вразливість запису поза межами у бібліотеці графіки Skia. Google стверджує, що ця помилка також експлуатується у дикій природі. Оскільки вона впливає на інший ключовий компонент браузера і була виправлена в тому ж екстреному випуску, організаціям слід застосувати повне оновлення без зволікань, замість того, щоб зосереджуватися лише на CVE-2026-3910.
Пом’якшення CVE-2026-3910
Рекомендоване протидійне заходи – негайно оновити Chrome до останньої виправленої збірки Stable Channel. Google стверджує, що виправлені версії для настільних ПК – 146.0.7680.75 і 146.0.7680.76 для Windows і macOS і 146.0.7680.75 для Linux. Оскільки Google підтвердив експлуатацію у дикій природі, організаціям слід пріоритезувати оновлення на пристроях співробітників, адмінстраторських робочих станціях та спільних системах, які використовуються для перегляду.
Організації, які використовують браузери на базі Chromium, такі як Microsoft Edge, Brave, Opera та Vivaldi, також повинні стежити за відповідними оновленнями від постачальників, оскільки ці продукти можуть наслідувати вразливість від того ж підлеглого коду.
Крім того, використовуючи AI-рідну платформу виявлення загроз SOC Prime , підтриману провідними фахівцями з кіберзаходів, глобальні організації можуть адаптувати стійку позицію безпеки і трансформувати свій SOC, щоб завжди бути на крок попереду нових загроз, пов’язаних з експлуатацією нульового дня.
FAQ
Що таке CVE-2026-3910 і як вона працює?
CVE-2026-3910 є вразливістю високого ступеня в JavaScript і WebAssembly двигуні V8 Chrome. Google описує її як недоліково реалізовану помилку, яку можна активувати за допомогою спеціально сформованої HTML-сторінки, що дозволяє віддаленому атакувачу виконати довільний код у пісочниці браузера.
Коли CVE-2026-3910 була вперше виявлена?
Згідно з рекомендацією Google, вразливість була повідомлена 10 березня 2026 року.
Який вплив CVE-2026-3910 на системи?
Основний ризик полягає в тому, що зловмисний веб-вміст може викликати виконання коду в пісочниці браузера Chrome. В реальних атаках це може перетворити рутинний перегляд на точку входу для крадіжки облікових даних, передачі зловмисного програмного забезпечення або подальшого компрометування, коли поєднується з іншими методами.
Чи може CVE-2026-3910 все ще впливати на мене у 2026 році?
Так. Будь-яка установка Chrome, яка ще не була оновлена до виправленої збірки, може все ще піддаватися впливу. Google явним чином повідомляє, що експлойти для CVE-2026-3910 існують у дикій природі.
Як я можу захиститися від CVE-2026-3910?
Оновіть Chrome до версії 146.0.7680.75 або 146.0.7680.76 на Windows та macOS або 146.0.7680.75 на Linux, потім перезапустіть браузер, щоб переконатися, що працює виправлена збірка. Організаціям, які використовують альтернативи на базі Chromium, слід застосувати виправлення постачальника, як тільки вони стануть доступні.
