Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) добави CVE-2026-2441 към каталога Known Exploited Vulnerabilities (KEV). Това задейства задължителен срок за отстраняване за федералните граждански агенции до 10 март 2026 г. по директивата Binding Operational Directive 22-01. Уязвимостта засяга Google Chromium и Google Chrome. Има данни за активна експлоатация, според публикации на SecurityWeek и Computer Weekly.

Какво представлява KEV

KEV е списък на CISA с уязвимости с доказана реална експлоатация. Включването в каталога означава, че рискът не е само теоретичен. За федералните агенции това води до конкретни срокове и изисквания за намаляване на риска.

Какво означава включването в KEV за сроковете

За организациите от Федералната гражданска изпълнителна власт на САЩ включването на уязвимост в KEV означава фиксиран краен срок за remediation. Допустимите действия включват инсталиране на корекция, прилагане на официални смекчаващи мерки или спиране на засегнатия продукт, ако няма налично решение.

За CVE-2026-2441 крайният срок, посочван в публичните съобщения за добавянето в KEV, е 10 март 2026 г.. Това е датата, до която федералните агенции трябва да намалят риска, за да останат в съответствие с изискванията на Binding Operational Directive 22-01.

Каква е уязвимостта CVE-2026-2441

CVE-2026-2441 е уязвимост тип use-after-free в CSS компонента на Chromium. Тя може да се използва за изпълнение на код при посещение на злонамерена уеб страница. Google е потвърдила, че има експлойт в реални атаки, без да публикува технически детайли, според SecurityWeek. Записът в Националната база данни за уязвимости на Националния институт по стандарти и технологии на САЩ (NVD към NIST) съдържа референтна информация за CVE-2026-2441.

Кои версии са засегнати и къде е корекцията

  • Windows и macOS: корекцията е в Chrome 145.0.7632.75/76 и по-нови версии.
  • Linux: корекцията е в Chrome 144.0.7559.75 и по-нови версии.

Какво да направят организациите извън федералния сектор

Директивата Binding Operational Directive 22-01 е задължителна за федералните агенции. Включването в KEV е сигнал за приоритетно пачване и за частния сектор. При уязвимости от типа zero-day в браузър рискът е широк, защото началната точка може да е посещение на страница или съдържание, заредено през рекламен трафик.

Практически стъпки за ИТ и екипите по сигурност:

  • Проверка на реално работещата версия на Chrome на крайни устройства и терминални сървъри.
  • Налагане на обновяване и рестарт на браузъра, когато корекцията е изтеглена, но процесът продължава да работи със стара версия.
  • Обновяване на други браузъри на база Chromium, ако се използват, след като доставчикът им публикува съответните версии.

Ключовото за сроковете

Добавянето на CVE-2026-2441 към KEV поставя краен срок 10 март 2026 г. за федералните агенции и повишава приоритета за пачване за останалите организации.

CISA включва в KEV уязвимости с доказана експлоатация. Организациите, които отлагат браузърните обновявания, остават изложени на риск от компрометиране на крайни точки и последващи инциденти в мрежата.