Google lukker årets første Chrome‑0‑dagssårbarhed

Eskil Sørensen

02.16.2026 10:39

Use‑after‑free fejl udnyttet in-the-wild

Google har startet 2026 med en akut sikkerhedsopdatering til Chrome.

En nyopdaget 0‑dagssårbarhed i browserens CSS‑komponent med id'et CVE‑2026‑2441 er blevet udnyttet aktivt, og patchen kom blot to dage efter, at fejlen blev rapporteret til Google. Det skriver Security Week.

Opdateringen Chrome 145.0.7632.75/76 til Windows og macOS samt 144.0.7559.75 til Linux adresserer sårbarheden, der er klassificeret som high severity. En CVSS-score foreligger ikke pt., ligesom sårbarheden heller ikke har fået et EUVD-nummer.

Use‑after‑free i CSS‑laget

Security Week skriver, at fejlen ligger i håndteringen af CSS‑strukturer, hvor hukommelse frigives for tidligt, hvilket gør det muligt for en angriber at udføre kode i Chromes sandbox. Det giver ikke øjeblikkelig fuld kompromittering af systemet — men det giver et forfæste i browseren, og det er som regel nok til at stjæle sessioner, aflure data eller eskalere med en anden sårbarhed.

Lynhurtigt forløb

Sårbarheden blev rapporteret den 11. februar af sikkerhedsresearcheren Shaheen Fazim, som Google i forvejen kender for flere opdagelser af alvorlige sårbarheder. Google lukkede fejlen den 13. februar.

Ingen detaljer om angreb – endnu

Der er endnu ingen offentlige oplysninger om angreb, der udnytter CVE‑2026‑2441. Men baseret på sårbarhedstypen og Googles sparsomme udmelding er angrebsvektoren med stor sandsynlighed velkendt:

En bruger lokkes ind på en ondsindet side
En skræddersyet CSS‑struktur trigger hukommelsesfejlen
Angriberen får eksekveringsmuligheder i sandbox‑miljøet

Selv uden sandbox‑escape giver det værktøjer til at stjæle browserdata, kapre tokens eller manipulere aktive sessioner.

I 2025 patchede Google seks 0‑dage ifølge deres egen tracker, mens CISA havde syv på KEV‑listen.

Læs mere

https://www.securityweek.com/google-patches-first-actively-exploited-chrome-zero-day-of-2026/

Sårbarhed