Google usuwa dwa aktywnie wykorzystywane luki zero-day w Chrome dotyczące Skia i V8 - Security Bez Tabu

Google usuwa dwa aktywnie wykorzystywane luki zero-day w Chrome dotyczące Skia i V8

Cybersecurity news

Wprowadzenie do problemu / definicja

Google opublikował poprawki bezpieczeństwa dla przeglądarki Chrome, eliminując dwie luki typu zero-day, które były już wykorzystywane w rzeczywistych atakach. Podatności dotyczą komponentów Skia oraz V8, czyli kluczowych elementów odpowiadających odpowiednio za renderowanie grafiki 2D oraz wykonywanie kodu JavaScript i WebAssembly.

Luki zero-day należą do najgroźniejszych kategorii błędów bezpieczeństwa, ponieważ atakujący mogą wykorzystywać je jeszcze przed szerokim wdrożeniem poprawek. W praktyce oznacza to wysokie ryzyko kompromitacji użytkowników odwiedzających złośliwie przygotowane strony internetowe.

W skrócie

  • Google załatał dwie podatności: CVE-2026-3909 oraz CVE-2026-3910.
  • Obie luki otrzymały wysoki poziom ważności i były aktywnie wykorzystywane.
  • CVE-2026-3909 dotyczy błędu out-of-bounds write w bibliotece Skia.
  • CVE-2026-3910 odnosi się do niewłaściwej implementacji w silniku V8.
  • Wektorem ataku może być specjalnie przygotowana strona HTML.
  • Zalecana aktualizacja to wersja 146.0.7680.75/76 dla Windows i macOS oraz 146.0.7680.75 dla Linuksa.
  • Obie podatności trafiły do katalogu Known Exploited Vulnerabilities.

Kontekst / historia

Incydent wpisuje się w utrzymujący się trend ataków wymierzonych w nowoczesne przeglądarki internetowe. Chrome pozostaje jednym z najważniejszych celów, ponieważ stanowi podstawowy punkt styku użytkownika z niezaufaną treścią pochodzącą z internetu.

Według ujawnionych informacji obie luki zostały zgłoszone 10 marca 2026 roku, a poprawki udostępniono już 13 marca 2026 roku. Google nie opublikował szczegółów dotyczących operatorów ataków ani pełnych łańcuchów exploitacji, co jest standardową praktyką mającą ograniczyć ryzyko dalszego nadużywania błędów przez kolejnych aktorów zagrożeń.

To kolejny przypadek aktywnie wykorzystywanych podatności w Chrome w 2026 roku, co pokazuje, że proces szybkiego aktualizowania przeglądarek staje się kluczowym elementem bezpieczeństwa zarówno w środowiskach domowych, jak i firmowych.

Analiza techniczna

CVE-2026-3909 została opisana jako błąd out-of-bounds write w bibliotece Skia. Tego rodzaju podatność polega na zapisie danych poza przydzielonym obszarem pamięci, co może prowadzić do uszkodzenia struktur pamięci procesu, niestabilności aplikacji, a w określonych warunkach również do wykonania kodu kontrolowanego przez atakującego.

Z kolei CVE-2026-3910 dotyczy silnika V8 i została sklasyfikowana jako niewłaściwa implementacja, która może umożliwić zdalnemu napastnikowi wykonanie arbitralnego kodu wewnątrz sandboxa za pomocą spreparowanej strony HTML. Ponieważ V8 odpowiada za obsługę JavaScript i WebAssembly, błędy w tym obszarze mają szczególnie duże znaczenie operacyjne.

W obu przypadkach atak może zostać uruchomiony po wejściu użytkownika na odpowiednio przygotowaną stronę internetową. Taki model wykorzystania obniża próg wymaganej interakcji i zwiększa ryzyko użycia luk w kampaniach phishingowych, malvertisingowych, watering hole oraz w atakach ukierunkowanych.

Konsekwencje / ryzyko

Najpoważniejsze ryzyko dotyczy systemów z zainstalowanym Chrome oraz innych przeglądarek opartych na Chromium, które mogą dziedziczyć podatne komponenty i wymagają odrębnych aktualizacji od swoich dostawców. W środowiskach firmowych skutkiem może być zdalne uruchomienie kodu w kontekście przeglądarki, przejęcie sesji użytkownika, kradzież danych z aplikacji webowych lub wykorzystanie zapisanych poświadczeń.

Poziom zagrożenia podnosi fakt, że luki były wykorzystywane jeszcze przed publikacją poprawek. Dodatkowo przeglądarka stale przetwarza niezaufane treści, a podatności w obszarze renderingu i silnika skryptowego od lat stanowią ważny element realistycznych łańcuchów ataku.

Wpisanie obu luk do katalogu Known Exploited Vulnerabilities oznacza, że zagrożenie zostało formalnie uznane za wykorzystywane operacyjnie. Dla organizacji jest to wyraźny sygnał, że opóźnienia w aktualizacji mogą bezpośrednio zwiększać ekspozycję na atak.

Rekomendacje

Priorytetem powinno być natychmiastowe wdrożenie aktualizacji Chrome na wszystkich wspieranych systemach. Organizacje powinny zweryfikować, czy urządzenia końcowe działają co najmniej na wersjach 146.0.7680.75/76 dla Windows i macOS oraz 146.0.7680.75 dla Linuksa.

W przypadku przeglądarek bazujących na Chromium należy monitorować komunikaty producentów i wdrażać ich własne poprawki niezwłocznie po publikacji. Samo zaktualizowanie Chrome nie oznacza bowiem automatycznego zabezpieczenia wszystkich pokrewnych produktów.

  • Wymusić automatyczne aktualizacje przeglądarek i skrócić okna wdrożeniowe dla poprawek krytycznych.
  • Monitorować telemetrię EDR/XDR pod kątem nietypowych awarii procesów przeglądarki i anomalii związanych z rendererem.
  • Ograniczyć użycie niezarządzanych przeglądarek w środowisku firmowym.
  • Stosować izolację przeglądarki lub zdalne renderowanie dla użytkowników wysokiego ryzyka.
  • Prowadzić inwentaryzację komponentów Chromium w aplikacjach i narzędziach wbudowanych.
  • Zaktualizować reguły detekcyjne pod kątem prób dostarczania złośliwych stron przez phishing, reklamy i przejęte witryny.

Podsumowanie

Dwie nowe luki zero-day w Chrome potwierdzają, że przeglądarka pozostaje jednym z najważniejszych elementów współczesnej powierzchni ataku. CVE-2026-3909 w Skia oraz CVE-2026-3910 w V8 mogą zostać wyzwolone przez spreparowaną stronę internetową, a ich aktywne wykorzystanie zostało już potwierdzone.

Dla zespołów bezpieczeństwa oznacza to konieczność natychmiastowego patchowania, weryfikacji ekspozycji w ekosystemie Chromium oraz zwiększenia priorytetu monitoringu aktywności związanej z procesami przeglądarki. W praktyce tempo wdrażania poprawek pozostaje najważniejszym mechanizmem ograniczania ryzyka.

Źródła

  1. Google Fixes Two Chrome Zero-Days Exploited in the Wild Affecting Skia and V8 — https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html
  2. CVE-2026-3909 — https://www.cve.org/CVERecord?id=CVE-2026-3909
  3. CVE-2026-3910 — https://www.cve.org/CVERecord?id=CVE-2026-3910
  4. Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog