Google устранила уязвимость Chrome: хитрые шрифты могли выполнять вредоносный код
Компания Google недавно устранила серьезную уязвимость нулевого дня в Chrome, которая позволяла злоумышленникам выполнять вредоносный код в изолированной программной среде браузера.
Уязвимость, получившая идентификатор CVE-2026-2441, была обнаружена и описана исследователем в области безопасности Шахином Фазимом 11 февраля и Google оперативно исправила её. Эта уязвимость относится к категории UAF — неправильной работы с освобождением памяти и имеет высокий уровень опасности — 8,8 балла по шкале CVSS.
В результате этой ошибки в памяти остается пустое пространство, которым могут воспользоваться злоумышленники для выполнения вредоносного кода.
Эта уязвимость затрагивает ту часть Chrome, которая работает с CSS, для работы с расширенными шрифтами. Хакеры могут создать хитрую веб-страницу с использованием специальных шрифтов, которая позволит им захватить управление ОС или украсть ваши данные. Потенциальный эксплойт не требует от вас никаких действий — ни кликов, ни скачивания файлов. Достаточно просто открыть зараженную веб-страницу, чтобы запустить атаку.
В Google подтвердили, что уязвимость используется «в реальных условиях», то есть злоумышленники активно ее используют, хотя конкретные случаи не упоминаются.
Компания Google выпустила обновление для Chrome 145.0.7632.75/76 (Windows/macOS) и 144.0.7559.75 (Linux), которое постепенно внедряется по всему миру. Пользователям настоятельно рекомендуется немедленно обновить свои браузеры.
