Google предупреждает IT-администраторов о новой уязвимости нулевого дня в браузере Chrome (CVE-2026-2441). Она затрагивает CSS-движок и позволяет удаленно выполнять код. Уязвимы версии Chrome для Windows, macOS и Linux. — csoonline.com
Злоумышленники получили возможность использовать новую уязвимость нулевого дня в браузере Chrome, предупредили IT-администраторов в Google.
Предупреждение появилось после того, как Google выпустила патч для Chrome для устранения уязвимости «использование после освобождения» памяти (CVE-2026-2441) в каскадных таблицах стилей (CSS). Это означает, что движок CSS браузера некорректно управляет памятью и может быть использован хакером.
В случае отсутствия патча удаленный злоумышленник может выполнить произвольный код внутри песочницы через специально созданную HTML-страницу. Уязвимость имеет высокий уровень критичности.
Под угрозой находятся браузеры Chrome для Windows и Mac до версии 145.0.7632.75/76, а также до версии 144.0.7559.75 для Linux.
«Google осведомлена о существовании эксплойта для CVE-2026-2441 в дикой природе», — говорится в предупреждении.
Подробности об уязвимости скудны. Google заявляет, что доступ к деталям ошибки и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновятся. Ограничения также будут сохраняться, если ошибка присутствует в сторонней библиотеке, от которой зависят другие проекты, но которые еще не исправили ее.
Джин Муди, технический директор Action1, пояснил, что при этой уязвимости браузер освобождает объект, но затем продолжает использовать устаревшую ссылку на эту область памяти. Любой злоумышленник, который может управлять компоновкой кучи с контролируемым содержимым, потенциально может заменить содержимое этой освобожденной памяти данными, которые он контролирует. Поскольку это происходит в рендерере и доступно через обычный контент страницы, поверхность атаки почти абсолютна.
«Практически, — добавил он, — достаточно, чтобы уязвимый пользователь просто посетил вредоносную страницу, чтобы фактически вызвать ошибку».
Поиск и использование уязвимостей браузеров — популярный инструмент для злоумышленников. Это связано с тем, что браузеры часто являются точкой входа в корпоративные сети, особенно в эпоху облачных приложений. Браузеры не только получают доступ к корпоративным данным, но и хранят конфиденциальную информацию, такую как учетные данные для входа и личные данные, используемые для автозаполнения форм.
Обычно браузеры поставляются с включенной по умолчанию автоматической установкой патчей. Однако некоторые CSO/CIO могут предпочесть ручную установку, чтобы патчи можно было протестировать на совместимость с корпоративными приложениями перед установкой.
Йоханнес Ульрих, декан отдела исследований SANS Institute, отметил, что это лишь самая последняя обнаруженная 0-day уязвимость в Chrome, и, судя по истории, вероятно, существует множество других, которые уже используются, но еще не обнаружены или не исправлены.
«Наличие надежной программы мониторинга конечных точек может снизить часть этого риска», — сказал он. Для корпоративных администраторов Google предлагает Chrome Enterprise Core, который добавляет необходимую инструментацию для мониторинга версий браузера и выпуска обновлений. Chrome Enterprise Core также добавляет централизованное управление расширениями. Вредоносные расширения часто являются более серьезной проблемой, чем 0-day уязвимости».
Браузеры — это очень сложные программы, поддерживающие большое количество технологий, добавил он, и включают некоторые устаревшие стандарты с ограниченной текущей поддержкой.
«Кодовая база браузера с открытым исходным кодом Chromium содержит около 36 миллионов строк кода, — отметил он. — Такой большой проект неизбежно включает уязвимости. Google использует ряд автоматизированных инструментов для постоянного сокращения числа уязвимостей, но злоумышленники делают то же самое и иногда находят ошибки, которые Google еще не нашла или до которых еще не добралась для проактивного исправления».
Браузерные 0-day уязвимости никогда не бывают хорошими, поскольку для преступников тривиально использовать вредоносную рекламу, чтобы направить жертв с уязвимыми браузерами на веб-сайты, содержащие вредоносный код, сказал Дэвид Шипли, руководитель канадского поставщика тренингов по безопасности Beauceron Security.
«В данном случае похоже, что это лишь частичное исправление уязвимости, и Google довольно сдержанна в отношении того, насколько серьезна эта ошибка и для чего она может быть использована, кроме сбоя браузера и повреждения данных. Но учитывая, что существуют активные эксплойты, и Google говорит, что ждет, пока большинство пользователей обновятся, прежде чем вдаваться в подробности, за этим явно скрывается что-то более интересное».
Доставка исправлений для корпоративных браузеров по-прежнему не так проста, как хотелось бы, добавил он, и обычно требует дорогостоящих инструментов или сложных рабочих процессов, которых нет у большинства небольших организаций.
Google, однако, предоставляет исчерпывающие рекомендации для администраторов по управлению обновлениями Chrome.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon