A Google sürgősségi frissítést adott ki a Google Chrome böngészőhöz, miután egy magas súlyosságú, aktívan kihasznált sebezhetőséget azonosítottak. Ez az első megerősített Chrome zero-day exploit 2026-ban.
A sérülékenység azonosítója: CVE-2026-2441
CVSS pontszám: 8.8 (High)
A hiba egy use-after-free memória probléma a Chrome fejlett betűtípus-megjelenítési (font rendering) rendszerében, konkrétan a CSSFontFeatureValuesMap komponensben.
A National Institute of Standards and Technology (NIST) adatbázisa szerint:
Use after free in CSS in Google Chrome prior to 145.0.7632.75 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page.
🔎 Mi a probléma lényege?
A sérülékenység egy iterator invalidation típusú programozási hiba, amely lehetővé teszi, hogy a böngésző olyan memóriaterülethez férjen hozzá, amely már felszabadításra került.
Ez különösen veszélyes, mert:
- memória-korruptáláshoz vezethet
- sandboxon belüli kódfuttatást tehet lehetővé
- instabilitást vagy crash-t okozhat
- további exploit lánc része lehet
A hibát Shaheen Fazim biztonsági kutató fedezte fel.
⚠ Aktív kihasználás a vadonban
A Google megerősítette, hogy a sebezhetőséget „in the wild” már kihasználták.
Ez azt jelenti, hogy:
- nem elméleti probléma
- valós támadásokban már használták
- célzott kampány része lehet
A Google a szokásos zero-day protokollt követi:
a technikai részletek korlátozottan hozzáférhetők, amíg a patch nem terjed el széles körben.
🛠 Gyorsított javítás – „Cherry-pick” patch
A javítást nem egy jövőbeni főverzióban vezették be, hanem azonnal visszaportolták a stabil kiadásokba (cherry-pick).
Ez arra utal, hogy:
- a kockázat magas
- a támadások folyamatban vannak
- nem lehetett várni a következő major release-re
A Chromium fejlesztési logok szerint a javítás az „azonnali problémát” kezeli, de további vizsgálatok is zajlanak – vagyis lehetséges, hogy további patch-ek érkeznek.
💻 Érintett és javított verziók
Frissített Stable verziók:
- Windows & macOS: 145.0.7632.75 / 145.0.7632.76
- Linux: 144.0.7559.75
A frissítés fokozatosan kerül kiadásra.
Manuális ellenőrzés:
Chrome → Settings → About Chrome
🌍 Miért különösen veszélyesek a böngésző zero-dayek?
A modern böngészők:
- folyamatosan nem megbízható tartalmat dolgoznak fel
- közvetlen internetes kitettségben vannak
- exploit láncok első lépcsői lehetnek
Egy sikeres böngésző exploit:
- nem igényel különösebb felhasználói interakciót
- elég lehet egy rosszindulatú weboldal meglátogatása
- további privilege escalation hibákkal kombinálható
2025-ben a Google 8 zero-day Chrome hibát javított, több esetben célzott megfigyelési kampányokhoz kapcsolódva.
🔐 Mit tegyenek a felhasználók?
✅ Azonnali Chrome frissítés
✅ Böngésző újraindítása
✅ Chromium-alapú böngészők frissítése is
Érintett lehet többek között:
- Microsoft Edge
- Brave
- Opera
- Vivaldi
Ezek a gyártók jellemzően néhány napon belül kiadják saját frissítéseiket.
📊 Összegzés
CVE-2026-2441:
- első Chrome zero-day 2026-ban
- aktívan kihasznált
- use-after-free memória hiba
- sandboxon belüli kódfuttatás lehetséges
- gyorsított patch rollout
A böngészők továbbra is a támadók első számú célpontjai.
A patch-elés sebessége ma már kritikus biztonsági tényező.





