Google je objavio hitno ažuriranje za svoj internet preglednik Chrome, nakon što je otkrivena kritična „zero-day“ ranjivost koju hakeri već aktivno iskorištavaju na internetu.
Sigurnosni propust, koji se vodi pod oznakom CVE-2026-2441, otkrio je istraživač Šahin Fazim 11. februara. Google je reagovao izuzetno brzo i samo dva dana kasnije objavio zakrpu za ovaj visoko-rizični bag (CVSS ocjena 8.8).
Radi se o takozvanoj „use-after-free“ ranjivosti koja se nalazi u dijelu Chromea zaduženom za upravljanje CSS-om (preciznije, motoru za napredne fontove, CSSFontFeatureValuesMap). Ovaj tip propusta nastaje kada softver pokuša pristupiti memoriji koja je već oslobođena ili obrisana, što napadačima otvara prostor da ubace i izvrše zlonamjerni kod.
Najopasniji aspekt ove ranjivosti je to što korisnik ne mora ništa kliknuti ili preuzeti. Jednostavno učitavanje zaražene web stranice, koja može sadržavati posebno modifikovane fontove, dovoljno je da se aktivira napad u memoriji preglednika.
Google je potvrdio da se ovaj propust već koristi „u divljini“ (in the wild), što znači da su aktivni napadi na korisnike u toku. Iako Chromeov „sandbox“ donekle ograničava štetu i sprečava hakere da odmah preuzmu kontrolu nad cijelim kompjuterom, oni ipak mogu:
- Pristupiti podacima o pregledanju;
- Špijunirati otvorene tabove;
- Pokušati dalji proboj iz izolovanog okruženja ka operativnom sistemu.
Google je počeo s globalnim uvođenjem zakrpe za sljedeće verzije:
Windows i macOS: 145.0.7632.75/76
Linux: 144.0.7559.75
Korisnicima se savjetuje da odmah provjere da li im je preglednik ažuriran. To možete uraditi na sljedeći način:
- Otvorite Chrome meni (tri tačkice u desnom uglu).
- Idite na Pomoć (Help) > O Google Chromeu (About Google Chrome).
Nakon što preglednik preuzme ažuriranje, potrebno je da ga ponovo pokrenete kako bi zaštita postala aktivna.