- Google ने Chrome desktop version के Stable Channel update का रिलीज़ किया है, जिसमें CVE-2026-2441 के रूप में पहचानी गई CSS-संबंधित zero-day vulnerability शामिल है
- Google ने पुष्टि की है कि इस vulnerability का वास्तविक हमलों में दुरुपयोग किया जा रहा है (in the wild), और उपयोगकर्ताओं को सुरक्षा जोखिम कम करने के लिए तुरंत latest version में अपडेट करना चाहिए
- अपडेट Windows, macOS, Linux के लिए Chrome पर क्रमिक रूप से रोलआउट किया जा रहा है
Chrome Stable Channel अपडेट का अवलोकन
- Google ने desktop के लिए Chrome के Stable Channel अपडेट की घोषणा की
- Windows/Mac के लिए 145.0.7632.75/76, Linux के लिए 144.0.7559.75
- अपडेट Windows, macOS, Linux प्लेटफ़ॉर्म पर वितरित किया जा रहा है
- इसे automatic update के ज़रिए क्रमिक रूप से लागू किया जाएगा
सुरक्षा vulnerability CVE-2026-2441
- इस वर्ज़न में CVE-2026-2441 के रूप में नामित एक सुरक्षा vulnerability शामिल है
- इसकी पुष्टि CSS processing के दौरान होने वाली zero-day vulnerability के रूप में हुई है
- Google ने स्पष्ट किया है कि इस vulnerability का वास्तविक हमलों में दुरुपयोग किया जा रहा है
उपयोगकर्ताओं के लिए अनुशंसित कार्रवाई
- Google ने सभी उपयोगकर्ताओं को Chrome को तुरंत latest version में अपडेट करने की सलाह दी है
- अगर automatic update पूरा नहीं हुआ है, तो manually अपडेट किया जा सकता है
- latest version लागू करने पर इस vulnerability से सुरक्षा मिल सकती है
वितरण और समर्थन
- अपडेट Stable Channel के माध्यम से चरणबद्ध तरीके से जारी किया जा रहा है
- कुछ उपयोगकर्ताओं को अपडेट लागू होने में समय लग सकता है
- Chrome टीम अतिरिक्त सुरक्षा सुधार और stability enhancement पर लगातार काम कर रही है
2 टिप्पणियां
अपडेट तो कर लिया, लेकिन लगता है कि Mac का वर्ज़न पहले ही 145.0.7632.110 तक पहुँच चुका है.
यह एक ऐसी vulnerability है जिसमें CSS के अंदर font processing के दौरान invalid हो चुके address का लगातार इस्तेमाल होने से Use-After-Free होता है, और इससे system takeover तक संभव हो जाता है, इसलिए सिर्फ वेबसाइट खोलने भर से भी यह हो सकता है. यहाँ तक कि कहा गया है कि इस vulnerability का पहले से exploit भी किया जा रहा था.
Hacker News की राय
Google Chromium में CSS का use-after-free vulnerability पाया गया है
यह ऐसी समस्या है जिसमें एक malicious HTML page के जरिए remote attacker heap corruption कर सकता है, और इसका असर सिर्फ Chrome ही नहीं बल्कि Edge, Opera जैसे Chromium-आधारित browsers पर भी पड़ सकता है
मामला काफ़ी गंभीर लगता है, और यह जानने की जिज्ञासा है कि researcher को मिला bug bounty amount कितना था
इतनी गंभीर vulnerability खोजने और reproducible exploit बनाने में लगने वाली मेहनत को देखें तो reward काफ़ी कम लगता है
क्योंकि ज़्यादातर Chrome version pinning करके रखती हैं
लेकिन “wild में पाया गया” का मतलब यह भी हो सकता है कि sandbox escape तक शामिल पूरा attack chain पहले से मौजूद है
21वीं सदी की system languages में भी ऐसे bugs खत्म न कर पाना शर्म की बात है
Chromium/Blink codebase के अंधेरे कोनों में अब भी ऐसे bugs छिपे होने की संभावना लगती है
ऐसे core project के लिए dedicated staff रखकर पूरे code को लगातार verify करना चाहिए
smart refrigerator integration जैसी features से ज़्यादा ऐसी security hardening कहीं ज़्यादा valuable investment है
अगर fuzzer काफ़ी ताकतवर हो तो शायद ही कोई area होगा जहाँ वह पहुँच न सके
“Use after free in CSS” वाली अभिव्यक्ति थोड़ी मज़ेदार लगती है
यह vulnerability असल में क्या impact डालती है, यह पूरी तरह स्पष्ट नहीं है
अगर sandbox escape या XSS नहीं है तो यह लगभग harmless लगती है, लेकिन PoC code को देखें तो
renderer process के भीतर arbitrary code execution, information disclosure, cookie·session hijacking, DOM manipulation, keylogging जैसी कई तरह की attacks संभव बताई गई हैं
पहले renderer bug से sandbox के भीतर arbitrary code execution हासिल किया जाता है, फिर sandbox escape से पूरे system पर full privileges लिए जाते हैं
यह vulnerability पहले चरण से जुड़ी है, और अगर इसका इस्तेमाल पहले से real-world attack में हुआ है तो दूसरे चरण के मौजूद होने की संभावना भी काफ़ी है
अब भी ऐसी memory vulnerabilities सामने आना हैरान करता है
लगता है जैसे memory-safe language की तरह verified binaries बनाने वाले tools होने चाहिए
CSS भी अब variables, scope और preprocessor features बढ़ने से जटिल हो गया है, इसलिए “no-script” की तरह शायद “no-style” extension की भी ज़रूरत पड़े
यह जानने की जिज्ञासा है कि यह report सिर्फ एक साधारण गलती है या multi-stage attack chain का हिस्सा
असली समस्या test coverage है। codebase इतना विशाल है कि complete coverage पाना मुश्किल है, और उन्हीं gaps में ऐसी vulnerabilities पैदा होती हैं
CSS web का core हिस्सा है, इसे हटा दें तो लगभग सारी sites टूट जाएँगी
इसके बदले isolation approach एक विकल्प हो सकती है
अगर browser session को remote server से stream किया जाए, तो zero-day होने पर local machine नहीं बल्कि सिर्फ remote instance प्रभावित होगा
यह perfect नहीं है, लेकिन attack surface कम करने की defense in depth strategy है
Chromium team जिन security tools का उपयोग करती है, उनकी सूची में AddressSanitizer, MemorySanitizer, libFuzzer आदि का ज़िक्र था, लेकिन OSS-Fuzz का न होना दिलचस्प लगा
patch deploy होने के बाद PoC code देखना चाहूँगा
मज़ाक में कहा गया कि Chromium को Rust में फिर से लिखना चाहिए
CVE खोजने पर issue page मिला, लेकिन
उस पर “Access is denied” दिख रहा है
लगता है यह private state में है और access के लिए login करना पड़ता है