Google выпустила экстренные обновления для устранения уязвимости высокой степени опасности в Chrome, которая уже используется в атаках нулевого дня. Это первая активно эксплуатируемая уязвимость безопасности Chrome, закрытая с начала года.
"Google известно о наличии эксплойта для CVE-2026-2441, который используется в реальных атаках", — сообщила компания в бюллетене безопасности, опубликованном в пятницу.
Согласно истории коммитов Chromium, уязвимость типа use-after-free (о которой сообщил исследователь безопасности Shaheen Fazim) вызвана ошибкой инвалидирования итератора в CSSFontFeatureValuesMap — реализации значений CSS font-feature в Chrome. Успешная эксплуатация может привести к сбоям браузера, ошибкам отображения, повреждению данных или другому неопределенному поведению.
В сообщении к коммиту также указано, что исправление CVE-2026-2441 устраняет "непосредственную проблему", однако при этом отмечается наличие "оставшихся работ", отслеживаемых в баг-трекере под номером 483936078. Это может указывать на временный характер патча либо на наличие связанных проблем, которые еще предстоит исправить.
Исправление было помечено как "cherry-picked" (выборочно перенесенное) и применено в нескольких коммитах, что указывает на его критическую важность и включение в стабильную ветку, а не ожидание следующего крупного релиза — вероятно, из-за активной эксплуатации уязвимости.
Хотя Google подтвердила факты эксплуатации этой zero-day уязвимости в реальных атаках, дополнительные подробности о самих инцидентах раскрыты не были.
"Доступ к деталям бага и связанным ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не установит исправление. Мы также сохраняем ограничения, если уязвимость присутствует в сторонней библиотеке, от которой зависят другие проекты, но для которых исправление еще не выпущено", — отметили в компании.
Актуальная версия Chrome: 145.0.7632.76
Google уже устранила уязвимость для пользователей стабильного канала настольной версии браузера. Обновления постепенно распространяются для Windows, macOS (версии 145.0.7632.75/76) и Linux (144.0.7559.75) по всему миру в течение ближайших дней или недель.
Пользователи, не желающие обновляться вручную, могут дождаться автоматической проверки обновлений — установка произойдет после следующего запуска браузера.
Хотя это первая активно эксплуатируемая уязвимость Chrome, закрытая с начала 2026 года, в прошлом году Google устранила в общей сложности восемь zero-day уязвимостей, использовавшихся в реальных атаках. Многие из них были обнаружены группой Threat Analysis Group (TAG), известной отслеживанием zero-day-эксплойтов, применяемых в шпионских атаках против пользователей из групп повышенного риска.
Источник
"Google известно о наличии эксплойта для CVE-2026-2441, который используется в реальных атаках", — сообщила компания в бюллетене безопасности, опубликованном в пятницу.
Согласно истории коммитов Chromium, уязвимость типа use-after-free (о которой сообщил исследователь безопасности Shaheen Fazim) вызвана ошибкой инвалидирования итератора в CSSFontFeatureValuesMap — реализации значений CSS font-feature в Chrome. Успешная эксплуатация может привести к сбоям браузера, ошибкам отображения, повреждению данных или другому неопределенному поведению.
В сообщении к коммиту также указано, что исправление CVE-2026-2441 устраняет "непосредственную проблему", однако при этом отмечается наличие "оставшихся работ", отслеживаемых в баг-трекере под номером 483936078. Это может указывать на временный характер патча либо на наличие связанных проблем, которые еще предстоит исправить.
Исправление было помечено как "cherry-picked" (выборочно перенесенное) и применено в нескольких коммитах, что указывает на его критическую важность и включение в стабильную ветку, а не ожидание следующего крупного релиза — вероятно, из-за активной эксплуатации уязвимости.
Хотя Google подтвердила факты эксплуатации этой zero-day уязвимости в реальных атаках, дополнительные подробности о самих инцидентах раскрыты не были.
"Доступ к деталям бага и связанным ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не установит исправление. Мы также сохраняем ограничения, если уязвимость присутствует в сторонней библиотеке, от которой зависят другие проекты, но для которых исправление еще не выпущено", — отметили в компании.
Актуальная версия Chrome: 145.0.7632.76
Google уже устранила уязвимость для пользователей стабильного канала настольной версии браузера. Обновления постепенно распространяются для Windows, macOS (версии 145.0.7632.75/76) и Linux (144.0.7559.75) по всему миру в течение ближайших дней или недель.
Пользователи, не желающие обновляться вручную, могут дождаться автоматической проверки обновлений — установка произойдет после следующего запуска браузера.
Хотя это первая активно эксплуатируемая уязвимость Chrome, закрытая с начала 2026 года, в прошлом году Google устранила в общей сложности восемь zero-day уязвимостей, использовавшихся в реальных атаках. Многие из них были обнаружены группой Threat Analysis Group (TAG), известной отслеживанием zero-day-эксплойтов, применяемых в шпионских атаках против пользователей из групп повышенного риска.
Источник
