Google выпустила внеплановое обновление безопасности для браузера Chrome, устраняющее первую в 2026 году 0-day уязвимость — CVE-2026-2441, которая уже используется злоумышленниками в реальных атаках. Компания официально подтвердила наличие рабочего эксплойта, что выводит проблему в категорию наиболее критичных для пользователей и организаций.
0-day уязвимость в Chrome: что известно о CVE-2026-2441
По данным разработчиков, уязвимость CVE-2026-2441 связана с ошибкой типа use-after-free в компоненте CSSFontFeatureValuesMap, отвечающем за обработку значений CSS font feature values (специальных настроек шрифтов). Ошибка возникает при некорректной работе с итераторами и освобождённой памятью.
Use-after-free — это классический баг управления памятью, при котором программа продолжает обращаться к объекту после его освобождения. В браузерах такие ошибки особенно опасны: они могут приводить не только к аварийному завершению работы приложения и повреждению данных, но при определённых условиях — к удалённому выполнению кода в контексте браузера.
В случае с CSSFontFeatureValuesMap уязвимость затрагивает этап рендеринга веб-страниц. Ошибки в этом подсистеме часто приводят к нестабильности отображения и крашам, но при целенаправленной эксплуатации могут использоваться как часть цепочки атак для обхода механизмов защиты браузера (sandbox, изоляция сайтов, проверки целостности памяти).
Патч «cherry-picked»: почему Google обновила стабильную ветку вне релизного цикла
Согласно истории коммитов Chromium, исправление для CVE-2026-2441 отмечено как «cherry-picked». Это означает, что патч целенаправленно перенесли в стабильную ветку, не дожидаясь очередного крупного релиза браузера. Такой подход используется, когда риск эксплуатации уязвимости оценивается как высокий и требуется срочное развёртывание исправления.
Разработчики уточняют, что текущий патч закрывает «непосредственную проблему», а связанные с ней аспекты отслеживаются в отдельной задаче с ID 483936078. Это косвенно указывает на то, что исправление может быть частичным или временным, а для более глубокой переработки кода CSSFontFeatureValuesMap потребуются дополнительные изменения.
Детали эксплуатации CVE-2026-2441 Google традиционно не раскрывает до тех пор, пока большинство активных установок Chrome не будет обновлено. Такой подход снижает вероятность того, что другие злоумышленники быстро воспроизведут эксплойт по опубликованным техническим деталям.
Какие версии Chrome защищены: обновления для Windows, macOS и Linux
Обновление безопасности уже доступно для основных настольных платформ. Защищёнными считаются следующие версии Chrome:
Для Windows и macOS: версии 145.0.7632.75 и 145.0.7632.76.
Для Linux: версия 144.0.7559.75.
Пользователям настоятельно рекомендуется проверить текущую версию браузера в меню «Справка → О браузере Google Chrome». Если обновление ещё не установлено автоматически, браузер должен предложить загрузить и применить патч после перезапуска.
0-day в Chrome и роль TAG: контекст угроз
Злоупотребление уязвимостями нулевого дня в браузерах — устойчивый тренд последних лет. Согласно открытым отчётам Google Project Zero, только в 2023 году было зафиксировано более 60 уязвимостей нулевого дня, активно эксплуатировавшихся «в дикой природе», и значительная часть из них приходилась на браузеры и их движки рендеринга.
За весь 2025 год Google сообщила об устранении в Chrome восьми 0-day уязвимостей, которые уже использовались в реальных атаках. Существенную долю таких инцидентов выявляет команда Google Threat Analysis Group (TAG), специализирующаяся на мониторинге эксплуатации 0-day в рамках кампаний кибершпионажа и распространения коммерческого шпионского ПО.
На практике эксплойты для браузера часто применяются как первый этап атаки: компрометация через вредоносный или скомпрометированный веб‑сайт, выполнение кода в контексте браузера, дальнейший выход за пределы песочницы (sandbox escape) и закрепление в системе. Поэтому своевременное закрытие подобных уязвимостей критично для всей цепочки защиты конечной точки.
Рекомендации пользователям и организациям по снижению риска
Рядовым пользователям рекомендуется:
— немедленно обновить Chrome до последней стабильной версии;
— убедиться, что автоматическое обновление браузера включено;
— по возможности использовать только официальные каналы установки и обновления программного обеспечения;
— избегать отключения встроенных механизмов безопасности браузера (песочница, безопасный просмотр).
Организациям и ИТ‑подразделениям стоит:
— оперативно развернуть обновление Chrome на рабочих станциях с помощью средств централизованного управления (GPO, MDM, RMM);
— контролировать версию браузера политиками безопасности, не допуская длительного использования устаревших сборок;
— включить отслеживание эксплойтов к браузерам в систему мониторинга ИБ (SIEM, EDR);
— регулярно проводить инвентаризацию используемых браузеров и расширений, удаляя неиспользуемые и потенциально уязвимые компоненты.
Эксплуатация CVE-2026-2441 ещё раз подчёркивает: браузер — один из ключевых векторов атак в современном киберпространстве. Чем быстрее пользователи и компании реагируют на выход патчей безопасности, тем меньше окно возможностей для злоумышленников. Регулярные обновления, строгие политики управления программным обеспечением и внимательное отношение к новостям о 0-day уязвимостях остаются базовыми, но крайне эффективными мерами защиты.
