Google објави безбедносен пропуст со високо ниво на ризик во својот прелистувач Chrome, кој, според сè, веќе активно се користел како таканаречен „zero-day“ напад. Во своето безбедносно соопштение, компанијата наведе дека е решен проблемот со ознака CVE-2026-2441, опишан како „use after free“ грешка во CSS, која ги зафаќала верзиите на прелистувачот пред најновата.
Овој пропуст, оценет со висока оценка на опасност од 8,3 од 10, им овозможувал на напаѓачите извршување произволен код во рамки на заштитената околина (sandbox) преку специјално изработена HTML-страница, што претставува сериозна закана за корисниците.
На корисниците им се советува што е можно поскоро да го ажурираат својот прелистувач за да се заштитат. Google вообичаено автоматски ги испраќа ажурирањата, па за повеќето корисници е доволно повторно да го стартуваат Chrome за да се инсталира најновата верзија. Потребно е да проверите дали ја користите верзијата 145.0.7632.75/76 за Windows и macOS, односно верзијата 144.0.7559.75 за Linux. Доколку сте ги исклучиле автоматските ажурирања, можете рачно да ги активирате така што ќе го отворите Chrome, ќе кликнете на трите точки во горниот десен агол, ќе изберете „Помош“ (Help), а потоа „За Google Chrome“ (About Google Chrome). На таа страница прелистувачот сам ќе провери дали има нова верзија, ќе ја преземе и ќе понуди повторно стартување.
Со оглед на тоа што овој пропуст активно се искористува, клучно е закрпата да се примени во најкраток можен рок. Од Google ја потврдија оваа информација во официјално соопштение. „Google е свесен дека експлоатација за CVE-2026-2441 постои во реални услови“, стои во нивното безбедносно известување. Компанијата, сепак, не откри детали за тоа кои се жртвите, на кој начин се искористува ранливоста, ниту кој стои зад нападот. Намерно ги задржуваат тие информации сè додека мнозинството корисници не ги ажурираат своите прелистувачи, за да не им дадат дополнителна предност на потенцијалните напаѓачи.
Како што наведува TechRadar, ова е првата активно искористувана ранливост во Chrome од почетокот на годинава. Во текот на минатата година, Google исправи дури осум вакви „zero-day“ пропусти, од кои многу биле искористувани од хакери поддржани од држави. Интересно е што американската Агенција за кибернетичка безбедност и безбедност на инфраструктурата (CISA) сè уште не го додала овој најнов пропуст во својот каталог на познати искористувани ранливости, но се очекува тоа да се случи наскоро.
