Google udostępniło poprawkę bezpieczeństwa dla przeglądarki Chrome, która usuwa poważną lukę typu zero-day. Problem został oznaczony jako CVE-2026-2441 i, co istotne, był już wykorzystywany przez cyberprzestępców.
Błąd odkrył badacz bezpieczeństwa Shaheen Fazim 11 lutego. Firma zareagowała szybko i dwa dni później opublikowała aktualizację. Luka otrzymała wysoki poziom zagrożenia, a jej charakter sprawia, że mogła zostać wykorzystana bez wiedzy użytkownika.
Na czym polegał problem
Chodzi o tzw. błąd use-after-free. W dużym uproszczeniu przeglądarka próbowała uzyskać dostęp do fragmentu pamięci, który wcześniej został już zwolniony. Taka sytuacja tworzy „puste miejsce” w pamięci, które atakujący może przejąć i wykorzystać do uruchomienia własnego kodu.
Google udostępniło poprawkę bezpieczeństwa dla przeglądarki Chrome, która usuwa poważną lukę typu zero-day. Problem został oznaczony jako CVE-2026-2441 i, co istotne, był już wykorzystywany przez cyberprzestępców.
W tym przypadku problem dotyczył mechanizmu odpowiedzialnego za obsługę zaawansowanych funkcji czcionek w CSS. Odpowiednio przygotowana strona internetowa, zawierająca specjalnie spreparowane elementy, mogła doprowadzić do uruchomienia złośliwego kodu w obrębie przeglądarki.
Co ważne, użytkownik nie musiał nic pobierać ani klikać podejrzanych linków. Wystarczyło samo wejście na zainfekowaną stronę.
Co groziło użytkownikom
Google potwierdził, że luka była wykorzystywana „w środowisku rzeczywistym”, choć nie podał szczegółów dotyczących konkretnych ataków. Dobra wiadomość jest taka, że Chrome posiada wbudowany mechanizm izolacji, tzw. sandbox, który ogranicza skutki takich incydentów.
Nie zapewnia on jednak pełnego bezpieczeństwa. Atakujący mógł potencjalnie uzyskać dostęp do danych przeglądania, podejrzeć otwarte karty lub próbować wykorzystać kolejne błędy, by wydostać się poza sandbox i przejąć większą kontrolę nad systemem.
Aktualizacja jest kluczowa
Poprawka została udostępniona w najnowszych wersjach Chrome dla systemów Windows, macOS oraz Linux. Aktualizacja jest wdrażana stopniowo, dlatego nie wszyscy użytkownicy otrzymują ją w tym samym momencie.
Aby sprawdzić, czy przeglądarka jest już zaktualizowana, wystarczy wejść w menu pomocy i wybrać informacje o Google Chrome. Jeśli dostępna jest nowa wersja, program pobierze ją automatycznie, a następnie poprosi o ponowne uruchomienie.
W przypadku luk typu zero-day czas reakcji ma ogromne znaczenie. Dlatego warto regularnie sprawdzać dostępność aktualizacji i nie odkładać ich instalacji na później.
Spodobało Ci się? Podziel się ze znajomymi!
Pokaż / Dodaj komentarze do:
Groźna luka w Google Chrome. Wystarczyło wejść na stronę