El 13 de febrer de 2026 Google va treure una actualització d’emergència per a Google Chrome que tapa CVE-2026-2441, el primer zero-day de Chrome de l’any que s’està explotant de debò. És una vulnerabilitat de tipus use-after-free al component CSS del navegador, en concret a l’estructura CSSFontFeatureValuesMap, la que gestiona els valors de característiques tipogràfiques (font feature values) en renderitzar tipus de lletra.
Què és la vulnerabilitat
Un use-after-free (CWE-416) és un error de gestió de memòria: el programa continua fent servir un punter a una zona de memòria que ja s’ha alliberat. Aquí l’origen és un error d’invalidació d’iterador. Chrome recorre un conjunt de valors de característiques de tipus de lletra i, alhora, modifica aquest mateix conjunt. El resultat és que l’iterador del bucle acaba apuntant a dades velles (memòria ja alliberada), i això permet corrompre la memòria del procés.
A partir d’aquesta corrupció un atacant remot pot arribar a executar codi arbitrari dins del sandbox de Chrome amb una pàgina HTML manipulada. El més lleig és que no cal cap clic ni res per part de l’usuari: amb què la víctima obri una web maliciosa, ja es dispara.
A qui afecta
Toca Google Chrome a totes les plataformes d’escriptori: Windows, macOS i Linux. Com que el problema és al motor de renderitzat Blink, també es poden veure afectats els navegadors basats en Chromium (Microsoft Edge, Brave, Opera o Vivaldi) fins que cada projecte reculli la correcció upstream. A Linux hi entren tant el paquet oficial de Chrome com les compilacions de Chromium que distribueix cada distribució.
Gravetat
Google i el NVD el marquen com de severitat alta, amb una puntuació CVSS 8.8. Hi ha dues coses que el fan més seriós que un use-after-free corrent:
- Explotació confirmada en la natura. Google va reconèixer que hi ha un exploit en ús real, així que CVE-2026-2441 és un zero-day actiu, no una vulnerabilitat sobre el paper.
- Vector d’atac trivial. Salta només carregant una pàgina, cosa que el deixa a tret per a campanyes de drive-by download i atacs d’abeurador (watering holes).
El va reportar l’11 de febrer de 2026 l’investigador de seguretat Shaheen Fazim, i Google va emetre el pedaç tot just dos dies després, fet que dona idea de la pressa que tenien. A sobre ja circulen proves de concepte publicades, cosa que abaixa el llistó per a nous atacants.
Mitigació i pedaç
L’única mitigació que serveix és actualitzar el navegador com més aviat millor. Les versions que corregeixen el problema són:
- Chrome 145.0.7632.75/76 per a Windows i macOS.
- Chrome 144.0.7559.75 per a Linux.
Per forçar l’actualització obre el menú de Chrome → Ajuda → Informació de Google Chrome (o entra a chrome://settings/help); el navegador buscarà i instal·larà la versió disponible. Després has de reiniciar Chrome perquè el pedaç tingui efecte. A Linux convé també llançar l’actualització del paquet des del gestor de la teva distribució (apt, dnf, etc.) i tancar i obrir qualsevol instància que tinguis en marxa. Si fas servir un navegador basat en Chromium, vigila quan el teu proveïdor publica la versió pedaçada i aplica-la tan aviat com la tinguis.
Font
- NVD – CVE-2026-2441: https://nvd.nist.gov/vuln/detail/CVE-2026-2441