Sårbarheter

Chrome zero-day CVE-2026-2441 exploateras aktivt – Google släpper akutuppdatering

4 Lästid / februari 16, 2026

Chrome Zero-Day CVE-2026-2441 Exploited in Wild as Google Ships Emergency Patch

Google släppte den 13 februari en akutuppdatering för att åtgärda en zero-day-sårbarhet i Chrome som angripare aktivt har exploaterat. CVE-2026-2441, som tilldelats CVSS-poäng 8,8, är ett use-after-free-fel i Chromes CSS-komponent som möjliggör fjärrkörning av kod i webbläsarens sandbox via en skadlig webbsida.

The Hacker News rapporterade att säkerhetsforskaren Shaheen Fazim upptäckte och rapporterade felet den 11 februari, två dagar före Googles patch. BleepingComputers analys av Chromium-historiken visar att sårbarheten härrör från ”ett iterator-invalideringsfel i CSSFontFeatureValuesMap” — Chromes implementation av CSS font feature values.

Google bekräftade i sin säkerhetsbulletin att ”en exploit för CVE-2026-2441 existerar aktivt” men lämnade inga detaljer om vem som ligger bakom angreppen eller vilka mål som drabbats. Denna tystnad är standard under pågående utredningar och hjälper till att förhindra ytterligare vapenifiering.

Felet kräver endast ett webbsidebesök

National Vulnerability Database-beskrivningen klargör angreppsvektorn: ”Use after free i CSS i Google Chrome före 145.0.7632.75 tillät en fjärrangripare att köra godtycklig kod inuti en sandbox via en skapad HTML-sida.” Ingen autentisering krävs. En angripare behöver endast övertyga en användare att besöka en skadlig webbplats.

Även om Chromes sandbox begränsar den omedelbara skadan — kod körs i en begränsad miljö snarare än med full systemåtkomst — noterar SOC Prime-analytiker att ”en framgångsrik exploit kan förvandla normal surfning till en ingångspunkt för malware-leverans, stöld av inloggningsuppgifter genom session hijacking eller token-åtkomst, och uppföljande kompromiss.” Om angripare kombinerar detta fel med en sandbox-flykt blir konsekvenserna betydligt allvarligare.

BleepingComputers tekniska analys antyder att patchen kan vara tillfällig. Commit-meddelandet noterar att åtgärden adresserar ”det omedelbara problemet” men indikerar att det finns ”kvarvarande arbete” spårat i bugg 483936078, vilket tyder på att relaterade problem behöver uppmärksamhet.

Detta är 2026:s första exploaterade Chrome zero-day

CVE-2026-2441 markerar den första aktivt exploaterade Chrome zero-day som Google åtgärdat i år. Under 2025 adresserade företaget åtta zero-days i Chrome som antingen exploaterats i angrepp eller demonstrerats som proof-of-concept, enligt The Hacker News. Många av dessa identifierades av Googles Threat Analysis Group, som spårar zero-days använda i spionprogram-kampanjer riktade mot högriskindivider.

Mönstret antyder att organiserade threat actors, inte opportunistiska kriminella, låg bakom den initiala exploateringen. SecurityWeek noterar att ”det verkar inte finnas någon offentlig information om angrepp som exploaterar CVE-2026-2441” — en signal om att exploateringen var riktad snarare än utbredd.

Patcha nu, starta om senare fungerar inte

De åtgärdade versionerna är Chrome 145.0.7632.75/76 för Windows och macOS, och 144.0.7559.75 för Linux. Googles utrullning är etappvis över flera dagar, så alla användare kommer inte att få uppdateringen samtidigt.

Kritisk detalj: att ladda ner uppdateringen räcker inte. SOC Prime betonar att system som ”laddat ner uppdateringen men inte startat om Chrome kan förbli exponerade.” Webbläsaren måste startas om för att patchen ska träda i kraft.

Kontrollera din Chrome-version via Inställningar > Om Chrome. Om du ser en ”Starta om”-knapp efter att uppdateringen laddats ner, klicka på den omedelbart. Organisationer som skjuter upp webbläsaromstarter för att undvika att störa användarsessioner bär onödig risk.

Sårbarheten påverkar även Chromium-baserade webbläsare. NotebookCheck bekräftade att Opera uppdaterade till version 127.0.5778.64 och Vivaldi till 7.8 (Chromium 144.0.7559.175) för att adressera samma fel.