Google објави итно ажурирање за својот интернет прелистувач Chrome, по откривањето на критична ранливост „zero-day“ што хакерите веќе активно ја експлоатираат на интернет.
Безбедносниот пропуст, со кодно име CVE-2026-2441, беше откриен од истражувачот Шахин Фазим на 11 февруари. Google реагираше екстремно брзо и само два дена подоцна објави patch за овој високоризичен баг (CVSS со оцена 8,8).
Станува збор за таканаречена ранливост use-after-free што се наоѓа во делот на Chrome одговорен за управување со CSS (поточно, моторот за напредни фонтови – CSSFontFeatureValuesMap). Овој тип на ранливост се јавува кога софтверот се обидува да пристапи до меморијата што веќе е ослободена или избришана, отворајќи ја вратата за напаѓачите да инјектираат и извршат злонамерен код.
Најопасниот аспект на оваа ранливост е што корисникот не мора да кликне или да преземе ништо. Едноставното вчитување на заразена веб-страница, која може да содржи специјално модифицирани фонтови, е доволно за да се активира нападот во меморијата на прелистувачот.
Google потврди дека оваа ранливост веќе се користи „во дивината“ (in the wild), што значи дека се во тек активни напади врз корисниците. Иако „sandbox“ на Chrome донекаде ја ограничува штетата и ги спречува хакерите веднаш да ја преземат контролата врз целиот компјутер, тие сепак можат: да пристапат до податоците за прелистување, да шпионираат отворени јазичиња, да се обидат дополнително да пробијат во оперативниот систем од изолираната средина.
Како да се заштитите?
Google започна со глобално воведување на patch за верзиите:
Windows и macOS: 145.0.7632.75/76
Linux: 144.0.7559.75
На корисниците им се препорачува да проверат дали нивниот прелистувач е ажуриран веднаш. Можете да го направите ова со одење во Help > About Google Chrome. Откако прелистувачот ќе ја преземе надградбата, треба да го рестартирате за заштитата да стане активна.