Компания Google выпустила экстренное обновление стабильной версии Google Chrome для Windows, macOS и Linux, закрывающее первую в 2026 году уязвимость нулевого дня — CVE-2026-2441. По данным вендора, проблема уже активно эксплуатировалась «в дикой природе».
Агентство CISA добавило уязвимость в каталог Known Exploited Vulnerabilities (KEV), что означает обязательное срочное обновление для федеральных ведомств США в установленные сроки.
Где находится уязвимость
Проблема обнаружена в движке рендеринга Blink, который отвечает за обработку HTML, CSS и DOM в Chrome и других Chromium-браузерах.
Конкретный уязвимый компонент — CSSFontFeatureValuesMap. Это часть системы обработки CSS, связанная с расширенными свойствами шрифтов (font-feature-values и связанные механизмы). Ошибка относится к классу use-after-free — ситуация, когда программа обращается к уже освобождённому участку памяти.
В чём опасность
Сценарий атаки выглядит следующим образом:
1. Жертва открывает специально подготовленную HTML-страницу.
2. В CSS страницы содержится код, провоцирующий ошибку управления памятью.
3. Браузер обращается к освобождённому объекту.
4. Возможны:
* падение вкладки (crash),
* повреждение памяти,
* выполнение произвольного кода в контексте процесса браузера (в пределах sandbox).
Хотя выполнение происходит внутри песочницы Chrome, подобные уязвимости часто используются как первая ступень в цепочке атак (browser RCE → sandbox escape → системный доступ).
Что видно по коммитам Chromium
В репозитории Chromium видно, что исправление было внесено в ускоренном режиме:
* патч помечен как cherry-picked — он был взят из другой ветки и вручную перенесён в стабильную;
* изменение минималистично и направлено на устранение непосредственного обращения к «битой» памяти;
* реализовано создание снапшота карты шрифтов при итерации, чтобы избежать чтения освобождённых объектов.
Судя по комментариям разработчиков, это временная мера. Более глубокая архитектурная переработка механизма вынесена в отдельный (пока закрытый) баг-репорт. Это типичная практика при 0-day: сначала быстрое «пожарное» исправление, затем фундаментальная переработка.
Текущий статус и эксплуатация
* Уязвимость подтверждена как эксплуатируемая в реальных атаках.
* Детали эксплойта официально не раскрываются.
* Публичные proof-of-concept уже начали появляться.
* Обновления постепенно распространяются через stable channel.
В 2025 году Chrome уже сталкивался с несколькими активно эксплуатируемыми 0-day, и текущий случай продолжает тенденцию — атакующие активно исследуют сложные компоненты Blink и системы управления памятью.
Что делать пользователям и администраторам
1. Немедленно обновить Chrome до последней стабильной версии.
2. Проверить автообновления в корпоративной среде.
3. Обновить браузеры на базе Chromium.
4. Убедиться, что включена изоляция сайтов (Site Isolation) и другие механизмы защиты.
Вывод
CVE-2026-2441 — типичный пример современной уязвимости класса use-after-free в сложном рендеринг-движке. Быстрое cherry-pick-исправление говорит о высокой серьёзности проблемы. Пока не будет внедрена архитектурная переработка, подобные баги в сложных подсистемах Blink остаются зоной повышенного риска.
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 1464 4675