Google remediază primul zero-day din Chrome exploatat în atacuri

Google a lansat actualizări de urgență pentru a remedia o vulnerabilitate Chrome cu grad de severitate high exploatată în atacuri zero-day, marcând prima astfel de breșă de securitate remediată de la începutul anului.

Compania a semnalat că este conștientă că există un exploit pentru CVE-2026-2441 în mediul public.

Conform istoricului de commit-uri Chromium, această vulnerabilitate de tip use-after-free se datorează unei erori de invalidare a iteratorului în CSSFontFeatureValuesMap, implementarea Chrome a valorilor caracteristicilor fonturilor CSS. Exploatarea cu succes poate permite atacatorilor să provoace blocarea browserului, probleme de randare, coruperea datelor sau alte comportamente imprevizibile.

Comunicatul menționează, de asemenea, că patch-ul CVE-2026-2441 remediază vulnerabilitatea, dar indică faptul că mai sunt unele probleme rămase urmărite în bug-ul 483936078, sugerând că aceasta ar putea fi o soluție temporară sau că problemele conexe trebuie încă rezolvate.

Patch-ul a fost etichetat ca cherry-picked (sau backported) în mai multe commit-uri, indicând faptul că era suficient de important pentru a fi inclus într-o versiune stabilă, în loc să se aștepte următoarea versiune majoră.

Deși Google a găsit dovezi că atacatorii exploatează această vulnerabilitate zero-day în mediul real, nu a furnizat detalii suplimentare cu privire la aceste incidente.

Google a remediat această vulnerabilitate pentru utilizatorii din canalul Stable Desktop, iar noile versiuni vor fi lansate în următoarele zile sau săptămâni pentru utilizatorii Windows, macOS (145.0.7632.75/76) și Linux (144.0.7559.75) din întreaga lume.

Deși aceasta este prima vulnerabilitate de securitate Chrome remediată și exploatată activ de la începutul anului 2026, anul trecut Google a remediat un total de 8 vulnerabilități zero-day exploatate în mediul real.

Sursă: https://www.bleepingcomputer.com/news/security/google-patches-first-chrome-zero-day-exploited-in-attacks-this-year/