Компания Google недавно устранила серьезную уязвимость нулевого дня в браузере Chrome, которая могла позволить злоумышленникам выполнять вредоносный код внутри песочницы браузера.
Уязвимость, известная как CVE-2026-2441, была обнаружена и сообщена исследователем безопасности Шахином Фазимом 11 февраля. Google оперативно выпустила исправление безопасности два дня спустя, в пятницу. Данная уязвимость представляет собой ошибку типа use-after-free высокой степени критичности с оценкой CVSS 8.8.
Ошибка use-after-free возникает, когда Chrome пытается получить доступ к памяти, которая уже была освобождена или удалена. Этот процесс оставляет пустое пространство в памяти, которое злоумышленники могут использовать для манипуляций и выполнения вредоносного кода.
Эта конкретная уязвимость нацелена на часть Chrome, отвечающую за CSS, а именно на движок CSSFontFeatureValuesMap, обрабатывающий расширенные шрифты. Хакеры могут создать скрытую веб-страницу, возможно, с использованием специальных шрифтов, которая может обмануть браузер и заставить его выполнить их вредоносный код. Хуже всего то, что для эксплуатации этой уязвимости не требуется никаких кликов или загрузок. Простое открытие зараженной веб-страницы может спровоцировать атаку и запустить вредоносный код в памяти Chrome.
Google подтвердила, что уязвимость эксплуатируется “в дикой природе”, что означает активное использование ее злоумышленниками, хотя конкретные случаи в реальном мире не упоминались. Хорошая новость заключается в том, что встроенная песочница Chrome в некоторой степени ограничивает потенциальный ущерб. В отличие от уязвимостей в нативных компонентах ОС, эта не позволяет злоумышленникам напрямую легко получить контроль над всем компьютером, но они вполне могут получить доступ к данным пользователей, шпионить за открытыми вкладками или пытаться предпринять дальнейшие уловки для побега из песочницы.
Google выпустила исправление для Chrome 145.0.7632.75/76 (Windows/macOS) и 144.0.7559.75 (Linux) с постепенным глобальным развертыванием. Пользователям настоятельно рекомендуется немедленно обновить свои браузеры. Чтобы обновить версию Google Chrome, перейдите в раздел Справка > О Google Chrome и проверьте наличие обновлений. Как только обновление появится, дождитесь его установки Chrome, перезапустите браузер, и вы будете в безопасности.
Вы можете ознакомиться с полным списком изменений CVE-2026-2441 на сайте Национальной базы данных уязвимостей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ivan Jenic
