Google выпустила экстренное исправление для Chrome из-за уязвимости нулевого дня CVE-2026-2441. Ошибка в CSS позволяет удаленно выполнять код через специально созданные HTML-страницы. — theregister.com
Компания Google выпустила экстренное исправление для браузера Chrome после того, как злоумышленники начали использовать первую обнаруженную уязвимость нулевого дня в 2026 году.
Уязвимость, отслеживаемая как CVE-2026-2441 и получившая высокий рейтинг CVSS 8.8, связана с ошибкой использования после освобождения (use-after-free) в механизме обработки CSS в Chrome. Она может позволить удаленному злоумышленнику выполнить произвольный код внутри песочницы браузера с помощью специально созданной HTML-страницы. Другими словами, подозрительной веб-страницы может быть достаточно, чтобы запустить вредоносный код в браузере жертвы.
Неудивительно, что Google спешно выпустила исправления для Chrome: версия 145.0.7632.75 для Windows и Mac, и 144.0.7559.75 для Linux. Компания заявляет, что обновления будут «выпущены в ближайшие дни/недели».
Исследователь в области безопасности Шахин Фазим сообщил об уязвимости 11 февраля, а Google подтвердила, что злоумышленники уже использовали ее всего два дня спустя, хотя и хранит молчание относительно подробностей. Компания не уточнила, были ли атаки целенаправленными или частью более масштабной кампании, лишь сообщив, что уязвимость использовалась до готовности исправления.
«Google осведомлена о существовании эксплойта для CVE-2026-2441 в дикой природе», — говорится в уведомлении безопасности.
Google заявила, что доступ к дополнительным деталям об ошибке будет ограничен до тех пор, пока большинство пользователей не будут обновлены, и, возможно, дольше, если задействованы сторонние зависимости. Это стандартный шаг, направленный на то, чтобы помешать другим быстро использовать ошибку в злонамеренных целях.
Если все это кажется вам знакомым, то так оно и есть. Google провела большую часть прошлого года, играя в «Whac-A-Mole» с активно эксплуатируемыми ошибками Chrome, исправив восемь уязвимостей нулевого дня в течение 2025 года.
Исправление также выходит через несколько дней после того, как исследователи сообщили, что по меньшей мере 287 расширений Chrome, установленных десятки миллионов раз, незаметно передавали историю просмотров пользователей длинному списку внешних получателей. Это полезное напоминание о том, что данные могут утекать не только из-за программных сбоев, но и через обширную экосистему, прикрепленную к браузеру. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page