کمیته رکن چهارم – گوگل یک آسیبپذیری با شدت بالا در مرورگر Chrome را که در حملات روز-صفر مورد سوءاستفاده قرار گرفته بود، بهصورت اضطراری وصله کرد. این نخستین نقص فعالانه بهرهبرداریشده Chrome در سال ۲۰۲۶ محسوب میشود.
این آسیبپذیری با شناسه CVE-2026-2441 ردیابی میشود.
به گزارش کمیته رکن چهارم، گوگل روز جمعه اعلام کرد از وجود بهرهبرداری فعال از این نقص در فضای واقعی آگاه است. بر اساس تاریخچه کامیتهای Chromium، این آسیبپذیری از نوع use-after-free بوده و در مؤلفه CSSFontFeatureValuesMap — پیادهسازی ویژگیهای فونت CSS در Chrome — به دلیل یک باگ «بیاعتبار شدن تکرارگر» (iterator invalidation) ایجاد شده است.
پیامدهای احتمالی بهرهبرداری
در صورت بهرهبرداری موفق، این نقص میتواند منجر به:
-
کرش مرورگر
-
اختلال در رندر صفحات وب
-
تخریب داده
-
یا رفتارهای پیشبینینشده دیگر
شود.
اگرچه گوگل جزئیات فنی حملات را منتشر نکرده، اما تأیید کرده که اکسپلویت در حملات واقعی مورد استفاده قرار گرفته است.
اصلاح فوری با برچسب Cherry-Picked
بر اساس توضیحات کامیت، وصله منتشرشده «مشکل فوری» را برطرف میکند، اما همچنان مواردی در باگ شماره ۴۸۳۹۳۶۰۷۸ نیازمند رسیدگی است؛ موضوعی که میتواند نشاندهنده ادامه بررسی ابعاد مرتبط با این نقص باشد.
این اصلاح با برچسب cherry-picked در نسخه پایدار اعمال شده است؛ به این معنا که بدون انتظار برای چرخه انتشار بعدی، مستقیماً در نسخه Stable منتشر شده — اقدامی که معمولاً در واکنش به سوءاستفاده فعال انجام میشود.
گوگل اعلام کرده دسترسی عمومی به جزئیات فنی و پیوندهای مرتبط تا زمان بهروزرسانی اکثریت کاربران محدود باقی خواهد ماند.
نسخههای اصلاحشده Chrome
این آسیبپذیری در نسخه Stable Desktop برطرف شده و نسخههای زیر در حال انتشار هستند:
-
ویندوز و macOS: نسخه ۱۴۵٫۰٫۷۶۳۲٫۷۵/۷۶
-
لینوکس: نسخه ۱۴۴٫۰٫۷۵۵۹٫۷۵
کاربران میتوانند از طریق منوی Settings > About Chrome مرورگر خود را بهصورت دستی بهروزرسانی کنند یا اجازه دهند Chrome پس از راهاندازی مجدد، بهطور خودکار نسخه جدید را نصب کند.
سابقه روز-صفرهای Chrome
CVE-2026-2441 نخستین آسیبپذیری روز-صفر Chrome در سال ۲۰۲۶ است. گوگل در سال ۲۰۲۵ در مجموع هشت روز-صفر را که در حملات واقعی مورد سوءاستفاده قرار گرفته بودند، وصله کرده بود.
بخش قابل توجهی از این موارد توسط Threat Analysis Group (TAG) گوگل شناسایی شده بود؛ تیمی که نقش مهمی در ردیابی بهرهبرداریهای پیشرفته و حملات جاسوسافزاری علیه اهداف پرخطر ایفا میکند.
