Wprowadzenie do problemu / definicja
Amerykańska agencja CISA rozszerzyła katalog Known Exploited Vulnerabilities o dwie podatności w przeglądarce Google Chrome, które według producenta są już wykorzystywane w rzeczywistych atakach. Taki wpis do katalogu KEV oznacza, iż problem nie ma charakteru wyłącznie teoretycznego, ale został uznany za realne zagrożenie operacyjne wymagające priorytetowego usunięcia.
Dla organizacji jest to wyraźny sygnał, iż opóźnianie aktualizacji przeglądarki może zwiększać ryzyko kompromitacji stacji roboczych, przejęcia sesji użytkowników oraz wykorzystania środowiska końcowego jako punktu wejścia do dalszych etapów ataku.
W skrócie
- CISA dodała do katalogu KEV luki CVE-2026-3909 oraz CVE-2026-3910.
- Obie podatności otrzymały ocenę CVSS 8.8.
- Luki dotyczą komponentów Skia oraz V8 w Google Chrome.
- Google potwierdził aktywne wykorzystanie podatności w atakach.
- Poprawki opublikowano w stabilnym kanale Chrome dla Windows, macOS i Linux.
- Federalne agencje USA otrzymały termin wdrożenia aktualizacji do 27 marca 2026 r.
Kontekst / historia
Katalog KEV prowadzony przez CISA obejmuje podatności, dla których istnieją wiarygodne przesłanki potwierdzające ich aktywne wykorzystanie przez atakujących. Umieszczenie luki na tej liście zwykle podnosi jej priorytet w procesach patch management, szczególnie w administracji publicznej i organizacjach o podwyższonym profilu ryzyka.
W tym przypadku Google poinformował o dwóch nowych lukach wysokiego ryzyka w Chrome, wykrytych 10 marca 2026 r. Następnie CISA ujęła je w katalogu KEV, podkreślając, iż przeglądarka internetowa pozostaje jednym z najważniejszych wektorów wejścia do środowisk firmowych i administracyjnych.
Analiza techniczna
Pierwsza z luk, CVE-2026-3909, została opisana jako out-of-bounds write w komponencie Skia. Tego typu błąd pamięci może zostać wywołany po otwarciu specjalnie przygotowanej strony HTML i prowadzić do zapisu poza przydzielonym obszarem pamięci procesu przeglądarki. W praktyce może to umożliwiać destabilizację procesu, obejście części zabezpieczeń lub przygotowanie gruntu pod dalsze etapy exploitacji.
Druga podatność, CVE-2026-3910, dotyczy silnika V8 i została opisana jako błąd umożliwiający zdalnemu atakującemu wykonanie kodu w obrębie piaskownicy przeglądarki przy użyciu złośliwie spreparowanej strony HTML. Chociaż wykonanie kodu w sandboxie nie oznacza jeszcze pełnego przejęcia systemu, stanowi istotny etap łańcucha ataku i może zostać połączone z dodatkowymi technikami, takimi jak eskalacja uprawnień czy ucieczka z piaskownicy.
Istotne jest również to, iż obie luki mogą zostać wyzwolone przez standardową interakcję użytkownika z treścią webową. Oznacza to relatywnie niski próg wejścia dla atakującego: wystarczy nakłonić ofiarę do odwiedzenia złośliwej lub przejętej strony internetowej. Taki model dobrze wpisuje się w scenariusze phishingu, ataków watering hole oraz złośliwych kampanii reklamowych.
Google udostępnił poprawki w wersji 146.0.7680.75/76 dla Windows i macOS oraz 146.0.7680.75 dla Linux. W praktyce samo pobranie aktualizacji nie zawsze zamyka lukę natychmiast, jeżeli użytkownik nie uruchomi ponownie przeglądarki.
Konsekwencje / ryzyko
Największe ryzyko dotyczy stacji roboczych użytkowników końcowych, zwłaszcza tam, gdzie Chrome jest podstawowym narzędziem dostępu do poczty, aplikacji SaaS, paneli administracyjnych i systemów biznesowych. Skuteczne wykorzystanie błędów pamięci w przeglądarce może prowadzić do uruchomienia złośliwego kodu, kradzieży sesji, dalszego ruchu bocznego lub instalacji dodatkowych komponentów malware.
Znaczenie tej sprawy wynika nie tylko z parametrów technicznych luk, ale przede wszystkim z faktu ich aktywnego wykorzystania. Dla zespołów bezpieczeństwa oznacza to przejście z etapu analizy potencjalnego ryzyka do obsługi potwierdzonego zagrożenia operacyjnego.
Szczególnie narażone są środowiska, w których aktualizacje przeglądarek nie są wymuszane centralnie, użytkownicy mają szerokie uprawnienia lokalne, a organizacja nie prowadzi pełnej telemetrii endpointów ani monitoringu ruchu związanego z przeglądarką.
Rekomendacje
Organizacje powinny potraktować aktualizację Chrome jako działanie priorytetowe i pilne operacyjnie. Najważniejsze kroki obejmują:
- natychmiastową weryfikację wersji Chrome na wszystkich zarządzanych endpointach,
- wymuszenie aktualizacji do wersji zawierających poprawki bezpieczeństwa,
- wymuszenie ponownego uruchomienia przeglądarki po instalacji aktualizacji,
- sprawdzenie, czy odpowiednie poprawki wdrożono również w innych przeglądarkach opartych na Chromium,
- monitorowanie logów EDR, proxy i DNS pod kątem anomalii związanych z aktywnością przeglądarki,
- ograniczenie lokalnych uprawnień użytkowników i wzmocnienie separacji przeglądarki od zasobów krytycznych,
- przegląd polityk filtrowania URL, ochrony przed phishingiem oraz mechanizmów izolacji przeglądarki,
- uwzględnienie wpisów z katalogu KEV w procesie priorytetyzacji łatania podatności.
W środowiskach o podwyższonym ryzyku warto dodatkowo rozważyć browser isolation, bardziej restrykcyjne profile użytkowników oraz skrócenie maksymalnego czasu wdrożenia poprawek dla aplikacji klienckich dostępnych z Internetu.
Podsumowanie
Dodanie CVE-2026-3909 i CVE-2026-3910 do katalogu KEV potwierdza, iż mamy do czynienia z realnym, aktywnie wykorzystywanym zagrożeniem dla użytkowników Google Chrome. Obie luki dotyczą kluczowych komponentów przeglądarki i mogą zostać wykorzystane poprzez zwykłe odwiedzenie złośliwej strony.
Dla zespołów bezpieczeństwa najważniejsze są szybkie aktualizacje, centralna kontrola wersji, wymuszenie restartu przeglądarki oraz zwiększony monitoring aktywności endpointów. To klasyczny przykład podatności, którą należy obsłużyć poza standardowym cyklem utrzymaniowym.