A Google pénteken rendkívüli, sürgős Chrome-frissítést adott ki egy olyan nulladik napi (zero-day) sérülékenység javítására, amely aktív kihasználás alatt áll valós környezetben. Az ilyen típusú frissítések telepítése különösen kritikus fontosságú, mivel a javítás kiadásakor már ismert, hogy a támadók élnek a javítás előtti verzióban jelenlévő sérülékenységekkel.
A Windows és macOS rendszerekre kiadott Chrome 145.0.7632.75/76, valamint a Linuxra elérhető 144.0.7559.75 verzió a CVE-2026-2441 azonosítójú hibát orvosolja. A sérülékenységet magas súlyosságú, use-after-free típusú memóriakezelési hibaként írták le a böngésző CSS-komponensében. A use-after-free sebezhetőségek lényege, hogy a program egy már felszabadított memóriaterületre hivatkozik, ami memóriakorrupt állapothoz és potenciálisan tetszőleges kód végrehajtásához vezethet.
A Google közleményében megerősítette, hogy tudomása van a CVE-2026-2441 sérülékenység aktív kihasználásáról. A hibát Shaheen Fazim biztonsági kutató jelentette a vállalat felé február 11-én és a javítás mindössze két nappal később elérhetővé vált, ami gyors reagálásnak minősíthető a gyártó részéről.
Fazim neve nem ismeretlen a Chrome biztonsági közösségben: a Google tavaly több, magas súlyosságú böngészősérülékenység felelős bejelentéséért is elismerte munkáját. A most felfedezett sérülékenységhez kapcsolódó bug bounty-jutalom összegét egyelőre még nem határozták meg.
A CVE-2026-2441 kihasználásával kapcsolatos konkrét támadási kampányokról jelenleg nem áll rendelkezésre nyilvános információ. A Google által megosztott szűkszavú technikai részletek alapján azonban valószínűsíthető, hogy a sérülékenység rosszindulatú weboldal meglátogatására történő rávezetés (drive-by exploit) útján használható ki és alkalmas lehet tetszőleges kód futtatására az érintett rendszerben.
Fontos ugyanakkor hangsúlyozni, hogy a Chrome többrétegű védelmi architektúrát alkalmaz, beleértve a sandbox-mechanizmust is. Ez azt jelenti, hogy a sikeresen végrehajtott kód alapértelmezés szerint izolált környezetben fut, korlátozott jogosultságokkal. A teljes rendszer kompromittálásához, például a sandboxból történő kitöréshez jellemzően egy további sérülékenység láncba kapcsolása szükséges.
Ennek ellenére egy ilyen hiba önmagában is komoly kockázatot jelenthet. Alkalmas lehet például a böngészőben tárolt adatok kiszivárogtatására, munkamenetek eltérítésére, hitelesítési tokenek megszerzésére, illetve további támadási lépések előkészítésére.
A 2025-ös év során mellékesen több Chrome nulladik napi sérülékenységet is javítottak. A Google saját zero-day nyilvántartása hat ilyen hibát tart számon, míg a CISA által vezetett KEV-katalógus hét Chrome-érintettségű sebezhetőséget sorol fel. Ez is jól mutatja, hogy a böngészők továbbra is kiemelt célpontjai a modern kiberbűnözőknek, és a gyors frissítés kulcsfontosságú védelmi intézkedés marad.