Google выпустил обновление безопасности для браузера Chrome, исправляющее опасную уязвимость нулевого дня, позволяющую выполнять вредоносный код внутри «песочницы» браузера.
Уязвимость CVE-2026-2441 была раскрыта 11 февраля исследователем по информационной безопасности Шахином Фазимом (Shaheen Fazim). Уже через два дня компания Google выпустила исправление. Проблема относится к категории использования данных после освобождения памяти и имеет высокий уровень критичности — 8,8 балла по шкале CVSS.
Ошибка использования данных возникает, когда Chrome пытается обратиться к области памяти, которая уже была освобождена или удалена. В результате остается «пустой» участок памяти, который злоумышленники могут использовать для подмены данных и выполнения вредоносного кода.
Данная уязвимость затрагивает компонент Chrome, отвечающий за обработку CSS — движок CSSFontFeatureValuesMap, используемый для работы с расширенными возможностями шрифтов. Хакеры могут создать специально подготовленную веб-страницу, например с особыми шрифтами, которая заставит браузер выполнить вредоносный код. При этом пользователю не нужно ничего скачивать или нажимать — достаточно просто открыть зараженную страницу, чтобы атака сработала.
Google сообщает, что уязвимость уже эксплуатируется в реальных атаках, хотя конкретные случаи не раскрываются. Встроенная песочница Chrome частично ограничивает возможный ущерб. В отличие от уязвимостей в компонентах ОС, эта проблема не дает злоумышленникам прямого доступа ко всему компьютеру. Однако они могут получить доступ к данным браузера, отслеживать открытые вкладки или попытаться использовать дополнительные методы для выхода из песочницы.
Исправление доступно в версиях:
Обновление распространяется постепенно по всему миру. Пользователям настоятельно рекомендуется обновить браузер. Для этого перейдите в Справка > О браузере Google Chrome, проверьте наличие обновлений, дождитесь установки и перезапустите браузер.
Полное описание уязвимости CVE-2026-2441 доступно на сайте Национальной базы данных уязвимостей (NVD).
Обновления программ, что нового
• Обзор 2FAS Pass – новый менеджер паролей с архитектурой local-first и поддержкой WebDAV
• Google устранил критическую уязвимость Chrome, эксплуатируемую в реальных атаках
• Алиса AI получила инлайн-бота @alisa: теперь к ней можно обращаться прямо в чатах Telegram
• Яндекс Карты теперь предлагают «оптимальный», «знакомый» и «быстрый» маршруты с учётом привычек водителя
• Пользователи сообщают о скрытии комментариев на YouTube из-за блокировщиков рекламы
• Опубликован предварительный список устройств Xiaomi, Redmi и POCO для обновления до Android 17