Google a lansat actualizări de securitate de urgență pentru browserul Chrome, pentru a repara o vulnerabilitate severă exploatată în atacuri, prima de tip zero day din acest an.
O vulnerabilitate zero-day este o problemă de securitate într-un software care este exploatată de atacatori înainte ca dezvoltatorul să știe de existența ei. Astfel, dezvoltatorul are la dispoziție zero zile pentru a o repara.
Vulnerabilitatea este catalogată ca CVE-2026-2441, a fost identificată și raportată de cercetătorul în securitate Shaheen Fazim pe 11 februarie iar Google a reparat-o două zile mai târziu.
Problema constă în implementarea mecanismului CSSFontFeatureValuesMap, o componentă care interpretează valorile caracteristicilor fonturilor CSS utilizate de browserul Chrome. Este o eroare de tip use-after-free (UAF) ce permite scrierea de cod arbitrar în sandbox folosind o pagină HTML special concepută pentru atac.
Google a confirmat că există dovezi că această vulnerabilitate a fost exploatată în atacuri, dar nu a oferit detalii tehnice în comunicarea publică. Compania explică că astfel de informații rămân restricționate până când o majoritate semnificativă a utilizatorilor instalează actualizarea de securitate, pentru a reduce riscul ca datele tehnice să fie folosite de alți actori rău intenționați.
Noua versiune Google Chrome a fost distribuită deja utilizatorilor din canalul stabil Desktop, în versiunile Windows, macOS și Linux ale Chrome, iar instalarea poate fi forțată manual prin meniul Help > About Google Chrome.
De obicei, browserul actualizează automat componentele de securitate, dar Google recomandă utilizatorilor să verifice imediat dacă pot instala noua versiune pentru o protecție imediată.
2025 a fost unul agitat din punct de vedere al securității pentru Chrome, cu opt astfel de vulnerabilități zero-day exploatate de atacatori. Multe dintre ele au fost descoperite de echipa Google Threat Analysis Group (TAG), specializată în urmărirea vulnerabilităților folosite în campanii de spionaj și atacuri sofisticate.
Utilizatorilor li se recomandă să aplice această actualizare cât mai rapid pentru a reduce riscul de compromitere prin intermediul vulnerabilității CVE-2026-2441.
Trebuie menționat, totuși, că astfel de vulnerabilități în Chrome sunt în general exploatate de actori cu resurse considerabile în campanii susținute de diverse guverne care vizează persoane de rang înalt și nu utilizatori obișnuiți. Mecanismul automat de actualizare al browserului este, de obicei, suficient pentru protecția majorității utilizatorilor.
