Google випустила позапланове оновлення безпеки для браузера Google Chrome, яким закрила першу в 2026 році 0-day уразливість — CVE-2026-2441. Компанія підтвердила наявність робочого експлойта, який уже застосовується в реальних атаках, що автоматично виводить цю помилку в категорію критичних для користувачів і організацій.
0-day уразливість CVE-2026-2441 у Chrome: технічні деталі та ризики
Уразливість CVE-2026-2441 пов’язана з помилкою типу use-after-free у компоненті CSSFontFeatureValuesMap, який відповідає за обробку параметрів CSS font feature values (додаткові налаштування шрифтів). Проблема виникає через некоректну роботу з ітераторами та доступ до вже звільненої області пам’яті.
Use-after-free — це класична помилка керування пам’яттю: програма продовжує звертатись до об’єкта після того, як він був звільнений. У контексті браузерів такі баги небезпечні тим, що можуть призводити не лише до крашів та пошкодження даних, а й до віддаленого виконання коду у контексті процесу браузера, якщо зловмисник зможе точно контролювати стан пам’яті.
Оскільки CSSFontFeatureValuesMap задіяний на етапі рендерингу вебсторінок, експлуатація уразливості можлива через спеціально сформований веб-контент. У типових сценаріях це може виглядати як відвідування шкідливого або скомпрометованого сайту, після чого експлойт намагається обійти механізми захисту Chrome — sandbox, ізоляцію сайтів та вбудовані перевірки цілісності пам’яті.
Позаплановий патч Google: що означає cherry-picked виправлення
Згідно з журналом змін Chromium, виправлення для CVE-2026-2441 відзначене як «cherry-picked». Це означає, що патч цілеспрямовано перенесли до стабільної гілки Chrome, оминувши стандартний релізний цикл. Такий підхід застосовується, коли ризик активної експлуатації оцінюється як високий і необхідно максимально швидко доставити оновлення користувачам.
Розробники зазначають, що поточне виправлення закриває «безпосередню проблему», а пов’язані аспекти відстежуються в окремій задачі з ID 483936078. Це може вказувати, що нинішній патч є першим кроком, а для глибшої переробки логіки CSSFontFeatureValuesMap знадобляться додаткові зміни в коді рушія.
Деталі експлуатації CVE-2026-2441 традиційно не розкриваються до моменту, поки більшість активних інсталяцій Chrome не буде оновлено. Така практика знижує ризик того, що інші зловмисники оперативно відтворять експлойт на основі технічного аналізу патча.
Які версії Google Chrome захищені від CVE-2026-2441
Оновлення безпеки вже доступне для основних настільних платформ. Захищеними вважаються такі версії Chrome:
Windows та macOS: 145.0.7632.75 і 145.0.7632.76.
Linux: 144.0.7559.75.
Користувачам слід перевірити поточну версію браузера в меню «Довідка → Про браузер Google Chrome». Якщо оновлення ще не встановлено автоматично, Chrome запропонує завантажити та застосувати патч після перезапуску програми.
0-day в браузерах як стійкий вектор атак
Роль Google TAG та Project Zero в виявленні 0-day експлойтів
За відкритими звітами Google Project Zero, лише у 2023 році було виявлено понад 60 0-day уразливостей, які активно експлуатувались «у дикій природі», значна частина з них стосувалася браузерів та їхніх рушіїв рендерингу. Упродовж 2025 року в Chrome було закрито щонайменше вісім 0-day уразливостей, про які Google публічно повідомила.
Виявленням таких інцидентів системно займається команда Google Threat Analysis Group (TAG), яка спеціалізується на моніторингу атак із використанням уразливостей нульового дня, зокрема в кампаніях кібершпигунства та під час поширення комерційного шпигунського ПЗ.
На практиці експлойти для браузера часто є першим етапом складної атаки: компрометація через шкідливу вебсторінку, виконання коду в браузері, подальше sandbox escape і закріплення в системі. Тому оперативне встановлення оновлень безпеки для Chrome та інших браузерів є критичним елементом захисту кінцевих точок.
Рекомендації для користувачів та організацій
Рекомендації для звичайних користувачів:
— негайно оновити Google Chrome до останньої стабільної версії;
— перевірити, що автоматичні оновлення браузера увімкнені;
— завантажувати ПЗ лише з офіційних джерел і магазинів додатків;
— не відключати вбудовані механізми захисту браузера (sandbox, «Безпечний перегляд» та інші).
Рекомендації для організацій та ІТ‑відділів:
— оперативно розгорнути оновлення Chrome на всіх робочих станціях (через GPO, MDM, RMM та інші системи централізованого керування);
— контролювати версії браузерів політиками безпеки, мінімізуючи використання застарілих збірок;
— інтегрувати моніторинг експлойтів для браузерів у наявні рішення SIEM та EDR;
— регулярно проводити інвентаризацію використовуваних браузерів та розширень, видаляючи застарілі та потенційно вразливі компоненти.
Експлуатація CVE-2026-2441 ще раз демонструє, що браузер залишається одним із ключових векторів атак у сучасному кіберпросторі. Чим швидше користувачі та компанії встановлюють оновлення безпеки Google Chrome, тим меншим є вікно можливостей для зловмисників. Регулярні апдейти, зрілі процеси керування програмним забезпеченням і уважне ставлення до новин про 0-day уразливості — прості, але надзвичайно ефективні кроки, які можуть суттєво знизити ризики компрометації.
