Google 修补了今年首次在攻击中被利用的 Chrome 零日漏洞

Source: Bleeping Computer

Google 已发布紧急更新，以修复在零日攻击中被利用的高危 Chrome 漏洞，这是自今年年初以来首次修补此类安全缺陷。

Google 在本周五发布的安全公告中确认，CVE‑2026‑2441 的利用代码已在野外活跃。

Vulnerability details

• 类型： Use‑after‑free（使用后释放）
• 根本原因： CSSFontFeatureValuesMap 中的迭代器失效错误，这是 Chrome 对 CSS 字体特性值的实现。
• 报告者： 安全研究员 Shaheen Fazim。
• 潜在影响： 浏览器崩溃、渲染问题、数据损坏或其他未定义行为。

提交信息指出，CVE‑2026‑2441 的补丁解决了“直接问题”，但仍有后续工作在进行中，已在bug 483936078中跟踪。该修复被挑选至多个提交，表明其紧迫性，需要在稳定版中发布，而不是等到下一个大版本。

Google 观察到攻击者在野外利用此零日，但未披露更多细节。

“漏洞细节和链接的访问可能会受到限制，直至大多数用户更新了修复。若该漏洞存在于第三方库且其他项目同样依赖但尚未修复，我们也会保持限制，”公告中写道。

Patch release

该漏洞已在 Stable Desktop 渠道的用户中修复。新版本正在向以下平台推送：

• Windows 与 macOS： 145.0.7632.75/76
• Linux： 144.0.7559.75

更新将在未来几天或几周内全球分发。用户可以让 Chrome 自动检查更新，并在下次启动后安装。

Historical context

虽然这是 2026 年首次被主动利用并修补的 Chrome 安全漏洞，但 Google 已在 2025 年修复了共计八个在野外被利用的零日，其中许多由公司旗下的威胁分析小组（TAG）报告，该小组追踪针对高风险个人的间谍软件攻击中被利用的零日。