Wprowadzenie do problemu / definicja
CVE-2026-2441 to wysokiego ryzyka podatność typu use-after-free w komponencie CSS przeglądarki Google Chrome. Błąd dotyczy obsługi struktur powiązanych z CSSFontFeatureValuesMap w silniku Blink i może zostać wywołany przez specjalnie przygotowaną stronę HTML. W praktyce oznacza to możliwość doprowadzenia do wykonania kodu w kontekście piaskownicy przeglądarki po samym odwiedzeniu złośliwej witryny.
W skrócie
Podatność została ujawniona jako luka aktywnie wykorzystywana przed publikacją poprawki, co znacząco podnosi jej wagę operacyjną. Problem dotyczy wersji Chrome wcześniejszych niż 145.0.7632.75, a jego źródłem jest błąd pamięci w obsłudze iteratora nad strukturą CSSFontFeatureValuesMap. Publicznie opisany scenariusz pokazuje, że modyfikacja mapy podczas iteracji może prowadzić do zwolnienia pamięci i pozostawienia wiszącego wskaźnika.
- Typ podatności: use-after-free
- Produkt: Google Chrome / silnik Blink
- Identyfikator: CVE-2026-2441
- Wpływ: możliwość zdalnego wykonania kodu w procesie przeglądarki
- Status: aktywna eksploatacja potwierdzona przed udostępnieniem poprawki
Kontekst / historia
Informacje o luce pojawiły się w lutym 2026 roku wraz z publikacją aktualizacji bezpieczeństwa dla stabilnego kanału desktopowego Chrome. Google udostępniło wersję 145.0.7632.75/76 dla Windows i macOS oraz 145.0.7632.75 dla Linuksa, wskazując na usunięcie problemu bezpieczeństwa o wysokiej wadze. W tym samym okresie rekord CVE został opublikowany w bazie NVD, gdzie opisano możliwość zdalnego wykonania kodu przez spreparowaną stronę HTML.
Dodatkowym sygnałem alarmowym było uwzględnienie CVE-2026-2441 w katalogu CISA Known Exploited Vulnerabilities. Taki wpis oznacza, że istnieją dowody aktywnego wykorzystania podatności w rzeczywistych działaniach ofensywnych. Dla organizacji to wyraźny sygnał, że luka nie ma wyłącznie charakteru teoretycznego i powinna zostać obsłużona priorytetowo w procesie zarządzania poprawkami.
Analiza techniczna
Sednem problemu jest klasyczny use-after-free, czyli sytuacja, w której kod nadal korzysta z obiektu już zwolnionego z pamięci. W tym przypadku chodzi o implementację iteracji po CSSFontFeatureValuesMap w silniku Blink. Publiczny opis wskazuje, że mechanizm iteracyjny przechowuje surowy wskaźnik do wewnętrznej struktury typu HashMap.
Jeżeli w trakcie iteracji dojdzie do modyfikacji tej mapy, na przykład przez operacje set() lub delete(), może zostać wywołany rehashing. Taka operacja przenosi dane i zwalnia poprzedni obszar pamięci, podczas gdy iterator nadal odwołuje się do starego adresu. W rezultacie dochodzi do dereferencji wiszącego wskaźnika, co może prowadzić do awarii procesu, uszkodzenia pamięci lub przejęcia kontroli nad przebiegiem wykonania w procesie renderera.
Istotny jest również wektor ataku. Luka jest osiągalna zdalnie przez treść renderowaną przez przeglądarkę, więc użytkownik nie musi pobierać dodatkowego pliku ani uruchamiać programu. Wystarczy wejście na odpowiednio spreparowaną stronę lub osadzenie złośliwej treści w kontekście webowym. Producent wskazał poprawkę polegającą na zastąpieniu surowego wskaźnika bezpieczniejszym podejściem opartym na kopii danych, co eliminuje problem nieprawidłowego czasu życia obiektu.
Konsekwencje / ryzyko
Najważniejszym skutkiem jest możliwość zdalnego uruchomienia kodu w procesie przeglądarki po odwiedzeniu złośliwej strony. Choć wykonanie kodu opisano w granicach sandboxa, nie zmniejsza to znaczenia zagrożenia. Przeglądarka jest jednym z najczęstszych punktów styku użytkownika z niezaufaną treścią, a exploit działający w rendererze może stanowić pierwszy etap większego łańcucha ataku.
Ryzyko jest szczególnie wysokie w środowiskach firmowych, gdzie Chrome lub inne przeglądarki oparte na Chromium są podstawowym narzędziem pracy. Dotyczy to stacji roboczych użytkowników, systemów VDI, terminali administracyjnych oraz środowisk opartych o aplikacje SaaS. Ze względu na potwierdzoną aktywną eksploatację organizacje powinny zakładać możliwość wykorzystania luki w kampaniach phishingowych, złośliwych reklamach, przejętych stronach internetowych i scenariuszach watering hole.
Dodatkowym czynnikiem ryzyka pozostaje sam ekosystem Chromium. Jeżeli podatność występuje w warstwie współdzielonej przez wiele przeglądarek, wpływ może objąć także inne produkty bazujące na tej samej wersji Blink. Oznacza to konieczność weryfikacji nie tylko Chrome, lecz także Edge, Opery i innych przeglądarek używanych w organizacji.
Rekomendacje
Priorytetem powinno być niezwłoczne wdrożenie aktualizacji przeglądarek do wersji zawierających poprawkę. W praktyce oznacza to wymuszenie aktualizacji Chrome co najmniej do wersji 145.0.7632.75/76 na wspieranych platformach oraz sprawdzenie zgodności wersji pozostałych przeglądarek opartych na Chromium.
- zweryfikować inwentarz przeglądarek i wersji silnika Chromium w organizacji,
- wymusić restart przeglądarek po aktualizacji, aby poprawka została rzeczywiście załadowana,
- monitorować telemetrię EDR pod kątem nietypowych awarii procesu przeglądarki i anomalii w rendererach,
- ograniczyć używanie niezarządzanych przeglądarek przez użytkowników końcowych,
- wdrożyć reguły detekcyjne dla podejrzanych łańcuchów uruchomień inicjowanych przez procesy przeglądarkowe,
- potraktować tę lukę jako impuls do przeglądu polityki szybkiego łatania aplikacji klienckich obsługujących treści internetowe.
Z perspektywy zespołów bezpieczeństwa warto również śledzić, czy exploit nie jest łączony z dodatkowymi podatnościami umożliwiającymi eskalację uprawnień lub ucieczkę z sandboxa. Sama obecność zdalnego błędu pamięci w przeglądarce powinna być traktowana jako zdarzenie wysokiego priorytetu.
Podsumowanie
CVE-2026-2441 to przykład luki o wysokim znaczeniu operacyjnym w warstwie renderowania treści webowych. Podatność use-after-free w CSSFontFeatureValuesMap umożliwia wywołanie niebezpiecznego stanu pamięci przez spreparowaną stronę HTML, a jej aktywna eksploatacja przed publikacją poprawki podnosi poziom zagrożenia. Dla organizacji kluczowe są szybkie aktualizacje, weryfikacja rzeczywistego poziomu załatania środowiska oraz monitoring zachowania przeglądarek i ich procesów potomnych.
Źródła
- Exploit Database – Google Chrome 145.0.7632.75 – CSSFontFeatureValuesMap – Multiple local Exploit — https://www.exploit-db.com/exploits/52542
- NIST National Vulnerability Database – CVE-2026-2441 — https://nvd.nist.gov/vuln/detail/CVE-2026-2441
- Chrome Releases – Stable Channel Update for Desktop — https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_13.html
- CISA Known Exploited Vulnerabilities Catalog – CVE-2026-2441 — https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-2441