گوگل یک آسیبپذیری zero-day با شدت بالا در مرورگر Chrome با شناسه CVE-2026-2441 را که بهطور فعال در حملات واقعی مورد سوءاستفاده قرار گرفته بود، وصله کرد. این نقص یک باگ use-after-free در کامپوننت CSS مرورگر است.
این اولین zero-day فعال Chrome در سال ۲۰۲۶ است که اصلاح میشود؛ در حالی که در سال ۲۰۲۵ نیز هشت مورد مشابه patch شده بودند.
طبق توضیحات پایگاه داده آسیبپذیریهای ملی (NVD) وابسته به NIST:
«Use after free در بخش CSS مرورگر Google Chrome پیش از نسخه ۱۴۵.۰.۷۶۳۲.۷۵ این امکان را به یک مهاجم remote میدهد که از طریق یک صفحه HTML دستکاریشده، کد دلخواه را درون sandbox اجرا کند.»
این یعنی مهاجم میتواند با سوءاستفاده از این نقص، سیستمهای آسیبپذیر را compromise کند. این آسیبپذیری توسط پژوهشگر امنیتی Shaheen Fazim در تاریخ ۱۱ فوریه ۲۰۲۶ کشف و بهصورت مسئولانه گزارش شده است.
در advisory منتشرشده توسط Google آمده است:
«CVE-2026-2441: Use after free در CSS. گزارششده توسط Shaheen Fazim در تاریخ ۲۰۲۶-۰۲-۱۱. گوگل از وجود exploit برای CVE-2026-2441 در محیط واقعی آگاه است.»
گوگل تأیید کرده که exploit این آسیبپذیری در طبیعت وجود دارد، اما جزئیاتی درباره نحوه سوءاستفاده یا اینکه کدام threat actor پشت این حملات است منتشر نکرده است.
کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera و Vivaldi نیز باید پس از انتشار آپدیتها، آنها را نصب کنند.
کانال Stable مرورگر Google Chrome برای ویندوز و مک به نسخههای ۱۴۵.۰.۷۶۳۲.۷۵ و ۱۴۵.۰.۷۶۳۲.۷۶ بهروزرسانی شده و برای لینوکس نسخه ۱۴۴.۰.۷۵۵۹.۷۵ منتشر شده است. روند انتشار این آپدیت طی روزها و هفتههای آینده تکمیل خواهد شد.
یک نظر