Google Releases Emergency Patch For First Chrome Zero-Day Exploit of 2026

Chrome zero-day 2026

A Google sürgősségi frissítést adott ki a Google Chrome böngészőhöz, miután egy magas súlyosságú, aktívan kihasznált sebezhetőséget azonosítottak. Ez az első megerősített Chrome zero-day exploit 2026-ban.

A sérülékenység azonosítója: CVE-2026-2441
CVSS pontszám: 8.8 (High)

A hiba egy use-after-free memória probléma a Chrome fejlett betűtípus-megjelenítési (font rendering) rendszerében, konkrétan a CSSFontFeatureValuesMap komponensben.

A National Institute of Standards and Technology (NIST) adatbázisa szerint:

Use after free in CSS in Google Chrome prior to 145.0.7632.75 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page.


🔎 Mi a probléma lényege?

A sérülékenység egy iterator invalidation típusú programozási hiba, amely lehetővé teszi, hogy a böngésző olyan memóriaterülethez férjen hozzá, amely már felszabadításra került.

Ez különösen veszélyes, mert:

  • memória-korruptáláshoz vezethet
  • sandboxon belüli kódfuttatást tehet lehetővé
  • instabilitást vagy crash-t okozhat
  • további exploit lánc része lehet

A hibát Shaheen Fazim biztonsági kutató fedezte fel.


⚠ Aktív kihasználás a vadonban

A Google megerősítette, hogy a sebezhetőséget „in the wild” már kihasználták.

Ez azt jelenti, hogy:

  • nem elméleti probléma
  • valós támadásokban már használták
  • célzott kampány része lehet

A Google a szokásos zero-day protokollt követi:
a technikai részletek korlátozottan hozzáférhetők, amíg a patch nem terjed el széles körben.


🛠 Gyorsított javítás – „Cherry-pick” patch

A javítást nem egy jövőbeni főverzióban vezették be, hanem azonnal visszaportolták a stabil kiadásokba (cherry-pick).

Ez arra utal, hogy:

  • a kockázat magas
  • a támadások folyamatban vannak
  • nem lehetett várni a következő major release-re

A Chromium fejlesztési logok szerint a javítás az „azonnali problémát” kezeli, de további vizsgálatok is zajlanak – vagyis lehetséges, hogy további patch-ek érkeznek.


💻 Érintett és javított verziók

Frissített Stable verziók:

  • Windows & macOS: 145.0.7632.75 / 145.0.7632.76
  • Linux: 144.0.7559.75

A frissítés fokozatosan kerül kiadásra.

Manuális ellenőrzés:

Chrome → Settings → About Chrome


🌍 Miért különösen veszélyesek a böngésző zero-dayek?

A modern böngészők:

  • folyamatosan nem megbízható tartalmat dolgoznak fel
  • közvetlen internetes kitettségben vannak
  • exploit láncok első lépcsői lehetnek

Egy sikeres böngésző exploit:

  • nem igényel különösebb felhasználói interakciót
  • elég lehet egy rosszindulatú weboldal meglátogatása
  • további privilege escalation hibákkal kombinálható

2025-ben a Google 8 zero-day Chrome hibát javított, több esetben célzott megfigyelési kampányokhoz kapcsolódva.


🔐 Mit tegyenek a felhasználók?

✅ Azonnali Chrome frissítés
✅ Böngésző újraindítása
✅ Chromium-alapú böngészők frissítése is

Érintett lehet többek között:

  • Microsoft Edge
  • Brave
  • Opera
  • Vivaldi

Ezek a gyártók jellemzően néhány napon belül kiadják saját frissítéseiket.


📊 Összegzés

CVE-2026-2441:

  • első Chrome zero-day 2026-ban
  • aktívan kihasznált
  • use-after-free memória hiba
  • sandboxon belüli kódfuttatás lehetséges
  • gyorsított patch rollout

A böngészők továbbra is a támadók első számú célpontjai.
A patch-elés sebessége ma már kritikus biztonsági tényező.

Az oldal tartalma nem másolható!