„Google“ išleido avarinius naujinimus, kad ištaisytų didelio sunkumo „Chrome“ pažeidžiamumą, išnaudotą per nulinės dienos atakas. Tai yra pirmasis toks saugos trūkumas, pataisytas nuo metų pradžios.
„Google“ žino, kad gamtoje egzistuoja CVE-2026-2441 išnaudojimas“, – sakoma „Google“ penktadienį paskelbtame saugumo pranešime.
Remiantis „Chromium“ įvykdymo istorija, šis nenaudojamas pažeidžiamumas (apie kurį pranešė saugos tyrinėtojas Shaheenas Fazimas) atsirado dėl iteratoriaus negaliojimo klaidos CSSFontFeatureValuesMap, „Chrome“ įdiegtame CSS šrifto funkcijų vertes. Sėkmingas išnaudojimas gali leisti užpuolikams sukelti naršyklės strigtis, atvaizdavimo problemas, duomenų sugadinimą ar kitą neapibrėžtą elgesį.
Įsipareigojimo pranešime taip pat pažymima, kad pataisa CVE-2026-2441 sprendžia „neatidėliotiną problemą“, tačiau nurodo, kad klaidoje 483936078 yra „likęs darbas“, o tai rodo, kad tai gali būti laikinas pataisymas arba vis dar reikia išspręsti susijusias problemas.
Pataisa buvo pažymėta kaip „išrinkta“ (arba perkelta atgal) per kelis įsipareigojimus, o tai rodo, kad buvo pakankamai svarbu įtraukti į stabilų leidimą, o ne laukti kitos pagrindinės versijos (tikėtina, nes pažeidžiamumas išnaudojamas gamtoje).
Nors „Google“ rado įrodymų, kad užpuolikai pasinaudojo šiuo nulinės dienos trūkumu laukinėje gamtoje, ji nepateikė papildomos informacijos apie šiuos incidentus.
„Prieiga prie išsamios informacijos ir nuorodų apie riktą gali būti apribota, kol dauguma vartotojų nebus atnaujinami su pataisymu. Mes taip pat išlaikysime apribojimus, jei klaida egzistuoja trečiosios šalies bibliotekoje, nuo kurios kiti projektai panašiai priklauso, bet dar nepataisyti”, – pažymima.
„Google“ dabar ištaisė šį stabilaus darbalaukio kanalo naudotojų pažeidžiamumą ir per ateinančias dienas ar savaites visame pasaulyje bus įdiegtos naujos versijos „Windows“, „MacOS“ (145.0.7632.75/76) ir „Linux“ naudotojams (144.0.7559.75).
Jei nenorite atnaujinti rankiniu būdu, taip pat galite leisti „Chrome“ automatiškai tikrinti, ar yra naujinių, ir įdiegti juos po kito paleidimo.
Nors tai yra pirmasis aktyviai išnaudojamas „Chrome“ saugos pažeidžiamumas, pataisytas nuo 2026 m. pradžios, praėjusiais metais „Google“ pašalino iš viso aštuonias nulio dienų piktnaudžiavimą laukinėje gamtoje, apie daugelį iš jų pranešė bendrovės grėsmių analizės grupė (TAG), plačiai žinoma kaip nulio dienų, kurios buvo išnaudotos didelės šnipinėjimo atakose, stebėjimas ir atpažinimas.
Šiuolaikinė IT infrastruktūra juda greičiau, nei gali atlikti rankinės darbo eigos.
Šiame naujajame „Tines“ vadove sužinokite, kaip jūsų komanda gali sumažinti paslėptus rankinius delsus, pagerinti automatinio atsako patikimumą ir sukurti bei išplėsti intelektualias darbo eigas su jau naudojamais įrankiais.
