13 февраля Google выпустила экстренное обновление Chrome. Причина, уязвимость в обработке CSS, которую злоумышленники на момент выхода патча уже применяли в реальных атаках.
Проблема получила идентификатор CVE-2026-2441 и оценку 8,8 из 10 по шкале CVSS, высокий уровень опасности. Ошибка относится к типу «обращение к освобождённой памяти» (use-after-free): браузер продолжает работать с участком памяти, который уже был высвобожден. Это позволяет атакующему подменить содержимое памяти и добиться выполнения произвольного кода.
Для эксплуатации достаточно заманить жертву на подготовленную веб-страницу с вредоносным CSS-кодом, никаких дополнительных действий от пользователя не требуется. Код выполняется в изолированной среде браузера, но в сочетании с другими уязвимостями атакующие способны выйти за её пределы.
Брешь обнаружил независимый исследователь Шахин Фазим (Shaheen Fazim) и сообщил о ней 11 февраля. Через два дня вышло исправление. Кто эксплуатировал уязвимость и против кого были направлены атаки, Google не раскрывает, в бюллетене лишь подтверждается факт использования в реальных условиях.
CVE-2026-2441 стала первой уязвимостью нулевого дня в Chrome, закрытой в 2026 году. За весь прошлый год Google устранила восемь подобных проблем, браузеры остаются одной из приоритетных мишеней, поскольку установлены на миллиардах устройств. Неделей ранее аналогичную угрозу закрыла Apple, выпустив патч для CVE-2026-20700 в iOS.
Обновить Chrome стоит безотлагательно. Безопасные версии: 145.0.7632.75/76 для Windows и macOS, 144.0.7559.75 для Linux. Проверить текущую версию можно через Справка → О браузере Google Chrome, обновление загрузится автоматически. Пользователям браузеров на движке Chromium, Microsoft Edge, Brave, Opera, Vivaldi, «Яндекс Браузера», стоит установить обновления по мере выхода: уязвимость затрагивает общую кодовую базу.
