Google выпустила экстренные обновления для устранения уязвимости высокого уровня опасности в Chrome, которая использовалась в атаках нулевого дня. Это первая подобная уязвимость, исправленная с начала года.
“Google осведомлена о существовании эксплойта для CVE-2026-2441 в реальных атаках”, — говорится в рекомендации по безопасности, опубликованной Google в пятницу.
Согласно истории изменений Chromium, эта уязвимость типа use-after-free (сообщенная исследователем безопасности Шахином Фазимом) вызвана ошибкой инвалидации итератора в CSSFontFeatureValuesMap, реализации Google CSS font feature values. Успешная эксплуатация может привести к сбоям браузера, проблемам с отображением, повреждению данных или другому неопределенному поведению.
В сообщении об изменениях также отмечается, что исправление CVE-2026-2441 устраняет “непосредственную проблему”, но указывает на “оставшуюся работу”, отслеживаемую в баге 483936078, что предполагает возможное временное решение или необходимость дальнейшего устранения связанных проблем.
Патч был помечен как “cherry-picked” (или бэкпортирован) через несколько коммитов, что указывает на его важность для включения в стабильный релиз, а не ожидания следующей основной версии (вероятно, из-за того, что уязвимость эксплуатируется в реальных атаках).
Хотя Google обнаружила доказательства эксплуатации этой уязвимости нулевого дня злоумышленниками, компания не предоставила дополнительных сведений об этих инцидентах.
“Доступ к деталям ошибки и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновятся. Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой зависят и другие проекты, но которые еще не исправили ее”, — отмечается в сообщении.
Google исправила эту уязвимость для пользователей стабильного настольного канала. Новые версии будут развернуты для пользователей Windows, macOS (145.0.7632.75/76) и Linux (144.0.7559.75) по всему миру в ближайшие дни или недели.
Если вы не хотите обновляться вручную, вы можете позволить Chrome проверять обновления автоматически и устанавливать их после следующего запуска.
Хотя это первая активно эксплуатируемая уязвимость безопасности Chrome, исправленная с начала 2026 года, в прошлом году Google устранила в общей сложности восемь уязвимостей нулевого дня, использовавшихся в атаках, многие из которых были обнаружены группой анализа угроз (TAG) Google, известной отслеживанием и выявлением уязвимостей нулевого дня, используемых в атаках с использованием шпионского ПО, направленных на лиц с высоким риском.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
