На этой неделе разработчики Google выпустили экстренное обновление для браузера Chrome, устранившее первую в этом году 0-day-уязвимость CVE-2026-2441, которой уже пользовались хакеры. Компания подтвердила существование рабочего эксплоита для этого бага.

Уязвимость представляет собой use-after-free в компоненте CSSFontFeatureValuesMap, отвечающем за обработку CSS font feature values. Проблема возникает при инвалидации итератора и может привести к экстренному завершению работы браузера, повреждению данных и сбоям рендеринга.

Согласно истории коммитов Chromium, патч для CVE-2026-2441 помечен как «cherry-picked» — то есть его вручную добавили в стабильную ветку, не дожидаясь следующего крупного релиза. При этом в коммите оговаривается, что патч решает «непосредственную проблему», тогда как связанные с уязвимостью задачи отслеживаются в отдельном баг-репорте 483936078. Не исключено, что нынешнее исправление — лишь временная мера.

Подробностей об использовании уязвимости в атаках специалисты Google не раскрывают. Доступ к информации о баге традиционно ограничен до тех пор, пока большинство пользователей не установят обновление.

Патч уже доступен для Windows и macOS в версиях 145.0.7632.75/76, а также для Linux в версии 144.0.7559.75.

Для сравнения: за весь 2025 год специалисты Google устранили в Chrome восемь 0-day, активно использовавшихся в реальных атаках. Многие из них обнаружила команда Google Threat Analysis Group (TAG), которая специализируется на обнаружении эксплуатации уязвимостей нулевого дня в атаках шпионского ПО.