Недавно Google закрыла серьёзную уязвимость нулевого дня в браузере Chrome, которая могла позволить злоумышленникам выполнять вредоносный код внутри песочницы браузера. Уязвимость, отслеживаемая как CVE-2026-2441, была обнаружена и описана исследователем в области кибербезопасности Шахином Фазимом 11 февраля. Google оперативно выпустила исправление безопасности спустя два дня, в пятницу. Эта уязвимость относится к типу use-after-free с высоким уровнем опасности и оценкой CVSS 8,8.
Ошибка use-after-free возникает, когда Chrome пытается получить доступ к памяти, которая уже была освобождена или удалена. В результате остаётся свободная область памяти, которую злоумышленники могут использовать для манипуляций и выполнения вредоносного кода.
Данная уязвимость затрагивает часть Chrome, отвечающую за работу с CSS, а точнее — механизм CSSFontFeatureValuesMap, предназначенный для обработки расширенных шрифтов. Хакеры могут создать вредоносную веб-страницу, возможно со специальными шрифтами, которая обманом заставит браузер выполнить их код. Самое неприятное заключается в том, что для эксплуатации не требуется нажимать на ссылки или что-либо скачивать. Достаточно просто открыть заражённую страницу — и атака может быть запущена, а вредоносный код выполнен в памяти Chrome.
Google подтвердила, что уязвимость уже эксплуатируется на практике. Злоумышленники активно её используют, хотя конкретные случаи не были раскрыты. Хорошая новость заключается в том, что встроенная песочница Chrome в определённой степени ограничивает возможный ущерб. В отличие от уязвимостей в нативных компонентах операционной системы, данная проблема не позволяет напрямую и легко получить полный контроль над компьютером, однако злоумышленники вполне могут получить доступ к данным браузера, отслеживать открытые вкладки или попытаться применить дополнительные методы для выхода из песочницы.
Google выпустила исправление для Chrome версий 145.0.7632.75/76 для Windows и macOS и 144.0.7559.75 для Linux с поэтапным глобальным развёртыванием. Пользователям настоятельно рекомендуется немедленно обновить браузер. Чтобы обновить Google Chrome, перейдите в раздел «Справка» → «О браузере Google Chrome» и проверьте наличие обновлений. После появления обновления дождитесь его установки, перезапустите браузер — и проблема будет устранена.
