Есть обновления, которые можно отложить на выходные. Есть те, которые стоит поставить сегодня вечером. А есть такие, после которых открываешь браузер и первым делом проверяешь версию. Два события, случившихся на второй неделе февраля 2026 года, относятся именно к третьей категории. 11 февраля Apple закрыла уязвимость CVE-2026-20700, которую высококвалифицированные атакующие уже использовали против конкретных людей. Двумя днями позже, 13 февраля, Google выпустила экстренный патч для Chrome, устраняющий CVE-2026-2441: zero-day с подтверждённой эксплуатацией в дикой природе. За одну неделю пользователи двух самых массовых экосистем мира получили наглядное напоминание о том, что зазор между "уязвимость обнаружена" и "патч применён" бывает смертельно опасным.
CVE-2026-2441 в Chrome и что такое use-after-free на языке реальных атак
Уязвимость CVE-2026-2441 с оценкой CVSS 8.8 описана как use-after-free баг в компоненте CSS. Исследователь безопасности Шахин Фазим сообщил о проблеме Google 11 февраля 2026 года. Согласно описанию в базе данных NIST NVD, уязвимость позволяла удалённому атакующему выполнить произвольный код внутри песочницы через специально подготовленную HTML-страницу.
Use-after-free относится к классу уязвимостей, связанных с ошибками управления памятью. Механизм прост до ужаса: программа освобождает блок памяти, но продолжает обращаться к нему через старый указатель. Атакующий может разместить в этом освобождённом блоке свои данные прежде, чем программа к нему обратится, и таким образом перехватить поток исполнения. Конкретно в Chrome проблема жила в реализации CSSFontFeatureValuesMap, объекте, управляющем значениями шрифтовых особенностей CSS. Итератор удерживал сырой указатель на хеш-таблицу FontFeatureAliases, а мутации во время итерации приводили к рехешированию и освобождению старой памяти при сохранении висячего указателя.
Чтобы активировать уязвимость, жертве достаточно открыть вредоносную страницу. Код выполняется внутри песочницы браузера, которая работает как изолированный контейнер для каждой вкладки и ограничивает доступ к файлам, устройствам и другим приложениям. Слово "песочница" не означает полной безопасности: злоумышленник, получивший исполнение кода внутри неё, приобретает возможности для кражи данных сессии, перехвата токенов авторизации и подготовки к следующему шагу атаки. Для полного захвата системы потребуется дополнительная уязвимость, позволяющая вырваться из песочницы, однако даже без неё CVE-2026-2441 открывает атакующему доступ к данным браузера, захвату сессий и проведению дальнейших атак.
Примечательно, что исправление для CVE-2026-2441 вышло через день после того, как Google уже закрыла другой use-after-free баг в том же компоненте CSS, на который обратили внимание исследователи. Два уязвимости в одном модуле за два дня, это не совпадение, это признак того, что компонент находился под пристальным вниманием как со стороны исследователей, так и со стороны атакующих.
Как быстро Google среагировала и что делать прямо сейчас
Исправление для CVE-2026-2441 было выпущено в обновлении стабильного канала 13 февраля 2026 года. Версии с патчем: Chrome 145.0.7632.75/76 для Windows и macOS и 144.0.7559.75 для Linux, с постепенным распространением в течение следующих дней.
Два дня от сообщения об уязвимости до выхода патча - это исключительный темп реагирования даже по меркам крупных вендоров. Google явно сработала в режиме чрезвычайной ситуации. Но патч помогает только тем, у кого он установлен. Если Chrome не закрывался полностью, браузер может загрузить обновление, но не применить его до перезапуска. Для проверки версии достаточно открыть меню из трёх точек, выбрать "Настройки", затем "О Chrome". Любая сборка 145.0.7632.75 и выше для Windows и macOS означает, что патч применён.
Спустя несколько дней после выпуска патча в открытом доступе появился публичный proof-of-concept эксплойта, демонстрирующий три пути воспроизведения уязвимости. Уязвимость включена в каталог CISA Known Exploited Vulnerabilities, что означает обязательное исправление для федеральных агентств США. Публичный PoC резко расширяет круг потенциальных атакующих: если раньше уязвимостью могла пользоваться узкая группа, теперь воспроизвести атаку способен значительно более широкий круг лиц.
CVE-2026-20700 в dyld Apple и что значит фраза "крайне сложная атака"
Apple оперирует очень осторожными формулировками, когда речь идёт об атаках на её продукты. Поэтому фраза в официальном уведомлении, что уязвимость могла быть использована в "крайне сложной атаке против конкретных целевых пользователей", говорит о многом даже в своей лаконичности. CVE-2026-20700 является уязвимостью повреждения памяти в компоненте dyld, Apple Dynamic Link Editor. Apple констатирует, что атакующий с возможностью записи в память может добиться произвольного исполнения кода.
dyld - это не периферийный компонент. Он загружает и компонует динамические библиотеки при запуске любого приложения, является мостом между кодом приложения и системными фреймворками. Потому что dyld работает на фундаментальном уровне операционной системы, уязвимость в этом компоненте несёт повышенный риск.
Apple также отметила, что эксплуатация CVE-2026-20700 связана с атаками, в которых использовались CVE-2025-14174 и CVE-2025-43529, две уязвимости нулевого дня в WebKit, закрытые в декабре 2025 года. Это указывает на цепочку эксплойтов, а не на использование единственной уязвимости. Атака, задействующая три отдельных CVE последовательно, означает, что за ней стоят атакующие с серьёзными ресурсами и подготовкой.
CVE-2026-20700 обнаружила и сообщила об уязвимости группа Google Threat Analysis Group, команда, специализирующаяся на отслеживании и противодействии продвинутым киберугрозам, в первую очередь поддерживаемым государственными структурами. Это существенная деталь: Google TAG традиционно занимается шпионским ПО и операциями кибершпионажа уровня APT. Факт, что именно эта команда обнаружила уязвимость, а Apple описывает атаки как "крайне сложные" и "целенаправленные", вписывает CVE-2026-20700 в ряд атак категории коммерческого шпионского ПО или государственно спонсируемых операций.
Кого атаковали и почему атакующие выбирают именно такие цепочки
Все три уязвимости повреждения памяти затрагивают мобильные операционные системы, где сложные атаки нулевого дня традиционно применяются для слежки за конкретными людьми: политическими диссидентами, журналистами, публичными фигурами или другими высокоценными целями.
Выбор dyld как точки входа логичен с точки зрения атакующего. Компонент работает при каждом запуске приложения, имеет привилегированный доступ к структурам памяти процесса и не виден рядовому пользователю. Уязвимость в нём не оставляет видимых следов, что ценно для шпионских кампаний, целью которых является длительный незаметный доступ. В рамках задокументированной цепочки атаки WebKit-уязвимости обеспечивали начальный доступ, после чего CVE-2026-20700 применялась для эскалации до произвольного исполнения кода, потенциально обходя ASLR и подпись кода.
CISA добавила CVE-2026-20700 в каталог Known Exploited Vulnerabilities с обязательным сроком устранения до 5 марта 2026 года для федеральных агентств США. Одновременно в тот же каталог были добавлены CVE-2025-15556, уязвимость в Notepad++, использованная связанным с Китаем актором для доставки бэкдора через скомпрометированный канал обновления, и CVE-2025-40536 в SolarWinds Web Help Desk.
Кому обновляться в первую очередь и что конкретно надо сделать
Патчи для CVE-2026-20700 включены в iOS 26.3 и iPadOS 26.3, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 и visionOS 26.3. Для старых устройств выпущены iOS 18.7.5 и iPadOS 18.7.5, macOS Sequoia 15.7.4 и macOS Sonoma 14.8.4.
Для Chrome обновление устанавливается через меню "О Chrome", которое автоматически проверяет наличие новой версии и предлагает перезапуск. Для корпоративных парков устройств рекомендуется принудительно развернуть обновление через GPO или MDM, не полагаясь на автообновление: браузеры, работающие без перезапуска неделями, могут долго оставаться на непропатченной версии.
Неделя, когда одновременно закрывались zero-day в Chrome и во всей экосистеме Apple, напоминает о закономерности, о которой security-специалисты говорят давно. Атакующие с ресурсами уровня государственных структур работают системно: они находят уязвимости в фундаментальных компонентах, выстраивают цепочки и используют их тихо, пока не выходит патч. Пользователи, которые обновляются сразу после выхода патча, разрывают эту цепочку. Все остальные остаются внутри неё.
Канал сайта в Telegram
Канал сайта на YouTube