Bezbjednosni propust, koji se vodi pod oznakom CVE-2026-2441, otkrio je istraživač Šahin Fazim 11. februara. Google je reagovao izuzetno brzo i samo dva dana kasnije objavio ,,zakrpu” za ovaj visoko-rizični bag (CVSS ocjena 8.8), prenosi B92.
Radi se o takozvanoj “use-after-free” ranjivosti koja se nalazi u dijelu Chrome-a zaduženom za upravljanje CSS-om (preciznije, motoru za napredne fontove – CSSFontFeatureValuesMap). Ovaj tip propusta nastaje kada softver pokuša da pristupi memoriji koja je već oslobođena ili obrisana, što napadačima otvara prostor da ubace i izvrše zlonamjerni kod.Najopasniji aspekt ove ranjivosti je to što korisnik ne mora ništa da klikne ili preuzme. Jednostavno učitavanje zaražene veb stranice, koja može sadržati posebno modifikovane fontove, dovoljno je da se aktivira napad u memoriji pregledača.
Google je potvrdio da se ovaj propust već koristi “u divljini” (in the wild), što znači da su aktivni napadi na korisnike u toku. Iako Chrome-ov “sandbox” donekle ograničava štetu i sprečava hakere da odmah preuzmu kontrolu nad cijelim kompjuterom, oni ipak mogu: da pristupe podacima o pregledanju, špijuniraju otvorene tabove), pokušaju dalji proboj iz izolovanog okruženja ka operativnom sistemu.
Kako da se zaštitite?
Google je počeo sa globalnim uvođenjem ,,zakrpe” za verzije:
Windows i macOS: 145.0.7632.75/76
Linux: 144.0.7559.75
Preporučeno
Korisnicima se savjetuje da odmah provjere da li im je pregledač ažuriran. To možete uraditi tako što ćete otići na Pomoć (Help) > O Google Chrome-u (About Google Chrome). Nakon što pregledač preuzme ažuriranje, potrebno je da ga ponovo pokrenete kako bi zaštita postala aktivna.
Video