1 kwietnia 2026 roku Google opublikowało awaryjną aktualizację Chrome usuwającą krytyczną lukę bezpieczeństwa oznaczoną jako CVE-2026-5281. Co niepokojące, exploit dla tej podatności był już aktywnie wykorzystywany w atakach zanim łatka trafiła do użytkowników. To już czwarty zero-day w Chrome wykryty i naprawiony w ciągu zaledwie pierwszych trzech miesięcy 2026 roku.
Na czym polega luka?
CVE-2026-5281 to błąd klasy use-after-free w komponencie Dawn — otwartej, wieloplatformowej implementacji standardu WebGPU, z której korzysta Chrome do obsługi zaawansowanej grafiki i obliczeń w przeglądarce. Błędy use-after-free polegają na tym, że program próbuje użyć bloku pamięci, który wcześniej już zwolnił. Jeśli atakujący zdoła odpowiednio spreparować ten stan, może nadpisać zwolnioną pamięć własnym kodem i przejąć kontrolę nad procesem.
W praktyce atakujący potrzebuje jedynie nakłonić ofiarę do odwiedzenia spreparowanej strony internetowej. Według badaczy luka jest najprawdopodobniej wykorzystywana jako część łańcucha exploitów: pierwszy exploit włamuje się do procesu renderera, a CVE-2026-5281 służy do eskalacji uprawnień i ucieczki z izolowanej piaskownicy Chromium (ang. sandbox escape).
Dlaczego to czwarty zero-day w tym roku?
Seria podatności zero-day w Chrome w 2026 roku ujawnia powtarzający się problem: ogromna złożoność nowoczesnych przeglądarek sprawia, że nowe możliwości — takie jak WebGPU, obsługujące grafikę 3D i obliczenia GPU bezpośrednio w przeglądarce — stają się atrakcyjnym celem dla zaawansowanych atakujących. Każda nowa warstwa funkcjonalności to potencjalnie nowe błędy, a grupy APT (ang. Advanced Persistent Threat) aktywnie szukają takich okien możliwości.
Agencja CISA (Cybersecurity and Infrastructure Security Agency) dodała CVE-2026-5281 do swojego katalogu aktywnie wykorzystywanych podatności (KEV) już 1 kwietnia 2026 roku, wyznaczając federalnym agencjom USA termin wdrożenia poprawki do 15 kwietnia.
Jak się zabezpieczyć?
Najważniejsza czynność to natychmiastowa aktualizacja Chrome do wersji 146.0.7680.177 (Linux) lub 146.0.7680.177/178 (Windows i macOS). Aby to zrobić, wystarczy w pasku adresu wpisać chrome://settings/help lub przejść do menu → Pomoc → O programie Google Chrome — przeglądarka automatycznie pobierze i zainstaluje dostępne aktualizacje.
Warto pamiętać, że problem dotyczy również innych przeglądarek opartych na silniku Chromium — Microsoft Edge, Brave, Opera i Vivaldi — które w najbliższych dniach powinny wydać własne aktualizacje. Jeśli korzystasz z jednej z nich, regularnie sprawdzaj dostępność nowych wersji.
Kilka dodatkowych wskazówek:
- Włącz automatyczne aktualizacje przeglądarki — to najprostszy sposób na szybkie otrzymywanie poprawek bezpieczeństwa.
- Restartuj przeglądarkę po aktualizacji — samo pobranie łatki nie wystarczy; nowa wersja zaczyna działać dopiero po ponownym uruchomieniu.
- Unikaj klikania w nieznane linki — exploity tego typu są najczęściej dostarczane przez spreparowane strony lub reklamy.
Podsumowanie
CVE-2026-5281 to kolejny dowód na to, że przeglądarka internetowa to jeden z najczęściej atakowanych programów na komputerze. Cztery zero-day w ciągu niecałego kwartału 2026 roku pokazują, że nawet dobrze utrzymane, popularne oprogramowanie nie jest wolne od poważnych błędów. Regularne aktualizacje pozostają najprostszą i najskuteczniejszą obroną przed tego typu zagrożeniami — nie odkładaj tej czynności na później.
źródło: https://thehackernews.com/2026/04/new-chrome-zero-day-cve-2026-5281-under.html