2026年,谷歌发布了一项紧急更新,以关闭Chrome浏览器上的第一个零日安全漏洞。该漏洞的代码为CVE-2026-2441,被归类为高风险,据报道,该漏洞已在多个地区被实际攻击利用。
在官方声明中,Google证实,在补丁广泛可用之前,威胁行为者已经利用了这个安全漏洞。因此,Windows,macOS和Linux用户被要求立即将浏览器更新到最新版本。
漏洞源于 Use-After-Free 错误
根据谷歌的说法,漏洞源于Chrome中CSSFontFeatureValuesMap组件中的use-after-free错误。该问题是由迭代器无效性引起的,这可能会导致字体处理期间内存损坏。
如果成功利用,该漏洞可能会导致浏览器崩溃,呈现中断,数据损坏,甚至系统行为不明确。在某些情况下,内存损坏的利用还可以为恶意代码的执行开辟道路。
安全研究员 Shaheen Fazim 通过负责披露机制报告了该漏洞。在收到报告后,Google表示,由于存在野外活动利用的迹象,它立即进行了全面调查。
补丁分阶段发布
谷歌限制了对该漏洞技术细节的访问,直到大多数用户安装了安全更新。此举旨在最大程度地降低未经授权方进一步利用的风险。
稳定更新现已逐步推出桌面用户,版本详细信息如下:
Windows:Chrome 145.0.7632.76
macOS:Chrome 版本 145.0.7632.75 和 145.0.7632.76
Linux:Chrome 144.0.7559.75
大多数用户在重新启动浏览器后将自动收到更新。但是,Google还建议用户通过设置菜单手动检查,以确保已安装最新版本。
公司还敦促组织和企业环境优先考虑实施此修补程序,以减少安全风险敞口的可能性。
随着CVE-2026-2441补丁的发布,这是Google在2026年处理的第一个Chrome零日漏洞。此案再次强调了定期更新软件作为纪律性网络安全实践的重要性的必要性。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
