شناسه CVE-2026-2441 :CVE
CWE-416 :CWE
yes :Advisory
منتشر شده: فوریه 13, 2026
به روز شده: فوریه 13, 2026
امتیاز: 8.8
نوع حمله: Use after free

اثر گذاری: Arbitrary code execution(ACE)
حوزه: مرورگرها
برند: Google
محصول: Chrome
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

یک آسیب‌پذیری از نوع استفاده پس از آزادسازی حافظه (Use-After-Free) در کامپوننت CSS موتور Blink مرورگر گوگل کروم شناسایی شده است. این ضعف امنیتی در شرایط خاص می‌تواند منجر به دسترسی به حافظه آزادشده و بروز خرابی حافظه (Heap Corruption) شود. در نتیجه، مهاجم از راه دور می‌تواند با استفاده از یک صفحه HTML دست‌کاری‌شده و پس از تعامل کاربر، کد دلخواه خود را در پردازه ایزوله‌شده سندباکس (Sandboxed Renderer Process) اجرا کند.

توضیحات

آسیب‌پذیری CVE-2026-2441 در کامپوننت CSS موتور Blink مرورگر گوگل کروم از نوع استفاده پس از آزادسازی حافظه (Use-After-Free) مطابق با CWE-416 است. این دسته از آسیب‌پذیری‌ها زمانی رخ می‌دهند که یک برنامه پس از آزادسازی بخشی از حافظه، همچنان تلاش کند به همان حافظه دسترسی داشته باشد یا از آن استفاده کند. در چنین شرایطی، مهاجم می‌تواند با دستکاری محتوای حافظه آزادشده، موجب خرابی حافظه، اختلال در عملکرد برنامه یا حتی اجرای کد دلخواه شود.

منشأ این آسیب‌پذیری در پیاده‌سازی ساختار CSSFontFeatureValuesMap در موتور Blink قرار دارد که برای مدیریت مقادیر مربوط به قواعد @font-feature-values در CSS استفاده می‌شود. بررسی‌های فنی نشان می‌دهد که در نسخه‌های آسیب‌پذیر، کلاس FontFeatureValuesMapIterationSource هنگام ایجاد یک پیمایشگر (Iterator) از یک اشاره‌گر خام (Raw Pointer) برای ارجاع به ساختار داخلی FontFeatureAliases استفاده می‌کرد. در صورتی که در حین پیمایش المنت‌ها، عملیات‌هایی مانند set یا delete روی این ساختار انجام می‌شد، جدول هش (HashMap) داخلی مجدداً ساخته شده (Rehash) و حافظه قبلی آزاد می‌شد. با این حال، پیمایشگر همچنان به حافظه آزادشده ارجاع می‌داد و در نتیجه تلاش برای دسترسی مجدد به این حافظه نامعتبر، شرایط وقوع آسیب‌پذیری استفاده پس از آزادسازی حافظه را ایجاد می‌کرد. به بیان ساده، مرورگر پس از آزاد شدن بخشی از حافظه، همچنان آن را معتبر فرض کرده و به استفاده از آن ادامه می‌داد؛ موضوعی که در نهایت می‌توانست منجر به خرابی حافظه شود.

مهاجم می‌تواند با طراحی یک صفحه HTML دست‌کاری‌شده و سوءاستفاده از قابلیت‌های CSS، شرایط لازم برای وقوع این خطا را فراهم کند. در سناریوی حمله، قربانی تنها کافی است صفحه مخرب را در مرورگر باز کند. پس از بارگذاری صفحه، مهاجم با دستکاری همزمان عملیات پیمایش و تغییر داده‌ها در ساختار CSSFontFeatureValuesMap، باعث آزادسازی حافظه و سپس دسترسی مجدد به آن می‌شود. این وضعیت می‌تواند منجر به خرابی حافظه Heap، اختلال در پردازه مرورگر یا اجرای کد دلخواه در پردازه ایزوله‌شده سندباکس (Sandboxed) مرورگر شود. گوگل اعلام کرده است که این آسیب‌پذیری پیش از انتشار پچ امنیتی در حملات واقعی مورد سوءاستفاده قرار گرفته است. قرار گرفتن آن در فهرست KEV نیز این موضوع را تأیید می‌کند.

پیامد اصلی این آسیب‌پذیری، امکان اجرای کد دلخواه (ACE) در محیط سندباکس مرورگر است. هرچند کد مخرب در محدوده محدودشده سندباکس اجرا می‌شود، اما این نوع ضعف‌ها اغلب می‌توانند در کنار سایر آسیب‌پذیری‌ها به‌عنوان بخشی از یک زنجیره حمله (Exploit Chain) مورد استفاده قرار گیرند و مسیر فرار از سندباکس و افزایش سطح دسترسی را هموار کنند. همچنین خرابی حافظه ناشی از این آسیب‌پذیری می‌تواند باعث از کار افتادن تب مرورگر، توقف پردازه‌های مرتبط یا بی‌ثباتی عملکرد مرورگر شود.

برای این آسیب‌پذیری کد اثبات مفهومی (PoC) عمومی منتشر شده است. این PoC نشان می‌دهد که چگونه می‌توان با دستکاری ساختارهای CSS و ایجاد شرایط دسترسی به حافظه آزادشده، آسیب‌پذیری استفاده پس از آزادسازی حافظه را فعال کرد.

بر اساس بردار CVSS، سوءاستفاده از این آسیب‌پذیری از طریق شبکه امکان‌پذیر است و مهاجم برای آغاز حمله نیازی به هیچ‌گونه حساب کاربری یا سطح دسترسی قبلی ندارد. حمله به‌سادگی قابل انجام است و مهاجم می‌تواند با ایجاد یک صفحه HTML دست‌کاری‌شده، شرایط سوءاستفاده را فراهم کند. با این حال، برای موفقیت حمله تعامل کاربر لازم است و قربانی باید صفحه مخرب را باز یا مشاهده کند. این آسیب‌پذیری به‌سادگی قابل خودکارسازی است و مهاجم می‌تواند از طریق وب‌سایت‌های مخرب، تبلیغات آلوده یا تزریق محتوا در صفحات معتبر، کاربران را به سمت صفحه آلوده هدایت کند، بدون اینکه نیازی به احراز هویت وجود داشته باشد.

از نظر تأثیرات امنیتی، این آسیب‌پذیری هر سه اصل امنیت اطلاعات را تحت تأثیر قرار می‌دهد. از منظر محرمانگی (Confidentiality)، مهاجم می‌تواند امکان دسترسی غیرمجاز به داده‌های پردازش‌شده در محدوده پردازه مرورگر را فراهم کند. از منظر یکپارچگی (Integrity)، مهاجم قادر است عملکرد پردازه آسیب‌پذیر را دست‌کاری کرده و داده‌ها یا کد دلخواه خود را در حافظه قرار دهد. همچنین از منظر دسترس‌پذیری (Availability)، وقوع خرابی حافظه ممکن است باعث از کار افتادن پردازه مرورگر، بسته شدن تب‌های فعال یا ناپایداری کلی مرورگر شود.

گوگل این آسیب‌پذیری را در نسخه 145.0.7632.75 مرورگر کروم پچ کرده و توصیه کرده است کاربران در سریع‌ترین زمان ممکن به‌روزرسانی کنند. علاوه بر گوگل کروم، سایر مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Opera، Brave و Vivaldi نیز در صورت استفاده از نسخه‌های آسیب‌پذیر موتور Chromium ممکن است تحت تأثیر قرار گیرند و لازم است پچ‌های امنیتی منتشرشده مربوطه را نصب کنند.

CVSS

Score	Severity	Version	Vector String
8.8	HIGH	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

شکل 1: تفسیر جدول CVSS

لیست محصولات آسیب پذیر

Versions	Platforms	Product
affected from 145.0.7632.75 before 145.0.7632.75	Windows, Mac, Linux	Chrome

لیست محصولات بروز شده

Versions	Platforms	Product
145.0.7632.75/76	Windows, Mac	Chrome
145.0.7632.75	Linux	Chrome

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Chrome را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
4,070,000	site:.ir “Chrome”	Chrome

نتیجه گیری

این آسیب‌پذیری با شدت بالا از نوع استفاده پس از آزادسازی در کامپوننت Blink CSS مرورگر گوگل کروم است که به مهاجم از راه دور اجازه می‌دهد از طریق یک صفحه HTML دستکاری‌شده امکان اجرای کد دلخواه را فراهم کند. وجود PoC عمومی، تأیید سوءاستفاده واقعی توسط گوگل و اضافه شدن این آسیب‌پذیری به فهرست KEV سازمان CISA نشان می‌دهد که ریسک سوءاستفاده از آن صرفاً نظری نبوده و تهدیدی عملیاتی برای کاربران و سازمان‌ها محسوب می‌شود. به‌منظور کاهش ریسک و جلوگیری از سوءاستفاده از این آسیب‌پذیری، اقدامات زیر توصیه می‌شود:

به‌روزرسانی فوری گوگل کروم : مهم‌ترین اقدام، به‌روزرسانی مرورگر به نسخه 0.7632.75 یا بالاتر است. این نسخه شامل پچ‌های امنیتی رسمی برای این رفع ضعف است.
به‌روزرسانی مرورگرهای مبتنی بر Chromium: مرورگرهایی مانند Microsoft Edge، Opera، Brave و Vivaldi نیز باید در اسرع وقت به‌روزرسانی شوند.
اعمال مدیریت متمرکز پچ‌ها: در محیط‌های سازمانی، به‌روزرسانی باید از طریق سیاست گروهی (Group Policy)، ابزارهای مدیریت endpoint یا سامانه‌های مدیریت پچ به‌صورت اجباری و سریع اعمال شود.
کنترل و نظارت بر نسخه مرورگرها: نسخه‌های نصب‌شده روی کلاینت‌ها باید به‌طور مستمر بررسی شوند تا هیچ سیستمی در نسخه‌های آسیب‌پذیر یا قدیمی باقی نماند و همگی به نسخه امن به‌روزرسانی شده باشند.
فعال‌سازی و تقویت سیاست‌های امنیتی مرورگر: استفاده از تنظیمات سخت‌گیرانه‌تر، محدودسازی افزونه‌ها، کاهش سطح دسترسی پروفایل کاربری و غیرفعال‌سازی قابلیت‌های غیرضروری می‌تواند سطح حمله را کاهش دهد.
آموزش کاربران برای جلوگیری از تعامل با محتوای مشکوک: چون این آسیب‌پذیری نیازمند تعامل کاربر است، آگاهی کاربران نسبت به صفحات ناشناس، لینک‌های مخرب و فایل‌های HTML مشکوک اهمیت زیادی دارد.
استفاده از راهکارهای دفاعی لایه‌ای: سامانه‌های EDR، آنتی‌ویروس‌ها (AV) و کنترل‌های امنیتی شبکه باید برای شناسایی عملکردهای غیرعادی در مرورگر فعال باشند.

اجرای این اقدامات در کنار مدیریت مستمر پچ‌های امنیتی می‌تواند احتمال سوءاستفاده از این آسیب‌پذیری و سایر ضعف‌های مبتنی بر خرابی حافظه در مرورگرهای مدرن را به میزان قابل توجهی کاهش دهد.

امکان استفاده در تاکتیک‌های Mitre Attack (در زمان اجرای حمله)

Initial Access (TA0001)

مهاجم برای بهره ‌برداری از این آسیب ‌پذیری، کاربر قربانی را از طریق روش ‌های مهندسی اجتماعی مانند فیشینگ، تبلیغات مخرب، یا لینک ‌های آلوده فریب می‌ دهد تا از یک وب ‌سایت مخرب بازدید کند. این یک حمله از راه دور (Remote) است و مهاجم نیازی به دسترسی قبلی به سیستم قربانی ندارد. کاربر تنها با کلیک روی یک لینک یا باز کردن یک ایمیل آلوده، نقطه ورود اولیه را برای مهاجم فراهم می‌کند.

Execution (TA0002)

هسته اصلی این آسیب ‌پذیری در فاز اجرای کد قرار دارد. هنگامی که کاربر صفحه HTML مخرب را باز می ‌کند، مرورگر شروع به پردازش کدهای CSS ویژه ‌ای می‌ کند که باعث فعال ‌سازی شرط Use-After-Free در حافظه می ‌شود. این نقص به مهاجم اجازه می ‌دهد تا کد دلخواه خود را در محیط سندباکس مرورگر اجرا کند. اگرچه سندباکس مرورگر برای جداسازی اجرای کد از سیستم عامل طراحی شده است، اما این نقص اساساً به مهاجم اجازه می ‌دهد تا این مرز امنیتی را دور بزند.

Defense Evasion (TA0005)

حمله از چند جهت به طور طبیعی از مکانیسم ‌های دفاعی فرار می ‌کند، کل فرآیند اجرای کد از طریق پردازش CSS در حافظه انجام می ‌شود و هیچ فایل مخربی روی دیسک ذخیره نمی ‌کند که توسط آنتی ‌ویروس‌ های سنتی قابل شناسایی باشد. درخواست به صفحه HTML مخرب شبیه به ترافیک عادی وب است و به راحتی توسط سیستم‌ های تشخیص نفوذ مبتنی بر امضا (Signature-based IDS) قابل شناسایی نیست. از آنجا که این یک آسیب ‌پذیری روز صفر بوده است، بسیاری از ابزارهای امنیتی قبل از انتشار وصله، امضایی برای شناسایی آن نداشته‌اند.

Impact (TA0040)

بهره‌ برداری موفق از CVE-2026-2441 می ‌تواند عواقب جدی و گسترده ‌ای داشته باشد دهد، مهاجم می ‌تواند بدافزار، باج ‌افزار یا هر کد مخرب دیگری را روی سیستم قربانی اجرا کند، مهاجم می ‌تواند از طریق سرقت توکن‌ های نشست، به حساب ‌های بانکی، ایمیل، شبکه ‌های اجتماعی و سایر سرویس‌ های آنلاین قربانی دسترسی پیدا کند، مهاجم می ‌تواند به تمام اطلاعات درون مرورگر (شامل رمزهای عبور ذخیره شده، تاریخچه مرور، کوکی‌ها و …) دسترسی پیدا کند و این نقص می ‌تواند باعث از کار افتادن مرورگر و در نتیجه اختلال در کار کاربر شود.

منابع

گزارش اثبات آسیب‌پذیری CVE-2026-2441

اطلاعات آسیب‌پذیری

عنوان: اجرای کد از راه دور ناشی از Use-After-Free در مؤلفه CSS مرورگرهای مبتنی بر کرومیوم

شناسه: CVE-2026-2441

وضعیت مشاوره: Zero-Day / Patch Available / In-the-Wild Exploitation

امتیاز: CVSS: 8.8 (High)

محصول: Google Chrome / Chromium

محصول / نسخه‌های آسیب‌پذیر

در نسخه‌های زیر:

Google Chrome برای Windows و macOS: نسخه ‌های قبل از 145.0.7632.75
Google Chrome برای Linux: نسخه ‌های قبل از 144.0.7559.75
Google Chrome Extended Stable: نسخه ‌های قبل از 144.0.7559.177
کلیه مرورگرهای مبتنی بر Chromium (مانند Microsoft Edge، Brave، Opera، Vivaldi، Arc) تا پیش از دریافت پچ

محیط‌های درگیر

کلیه سازمان ‌هایی که از مرورگرهای مبتنی بر Chromium در محیط ‌های کاری استفاده می‌کنند
کاربران خانگی و سازمانی که از Google Chrome، Microsoft Edge، Brave، Opera یا سایر مرورگرهای Chromium-based استفاده می ‌کنند
محیط ‌های cloud و container که از Chromium برای headless browsing، web scraping یا automated testing استفاده می ‌کنند
سیستم ‌های embedded که از Chromium runtime استفاده می ‌کنند
کاربرانی که به وب ‌سایت ‌های ناشناس یا لینک ‌های مشکوک مراجعه می‌ کنند

کامپوننت‌های آسیب‌پذیر

کامپوننت CSSFontFeatureValuesMap در موتور رندرینگ Blink
فایل third_party/blink/renderer/core/css/css_font_feature_values_map.cc
کلاس FontFeatureValuesMapIterationSource و متد FetchNextItem()
زیرسیستم پردازش CSS در Blink rendering engine
مکانیزم تکرار (iteration) روی HashMap داخلی FontFeatureAliases

ریشه مشکل (Root Cause Analysis)

ریشه اصلی این آسیب ‌پذیری به یک خطای Use-After-Free (CWE-416) در پیاده ‌سازی تکرارکننده (iterator) کلاس CSSFontFeatureValuesMap بازمی ‌گردد. این کلاس مسئول مدیریت نگاشت مقادیر ویژگی ‌های فونت (Font Feature Values) در CSS است. نقص در نحوه نگهداری اشاره ‌گر به HashMap داخلی رخ می ‌دهد.

زمانی که نقشه (map) در حین تکرار تغییر می‌کند (از طریق set() یا delete())، HashMap داخلی rehash می‌ شود، یعنی حافظه جدید تخصیص می ‌یابد و حافظه قدیمی آزاد می‌شود. اما اشاره ‌گر aliases_ همچنان به حافظه قدیمی (آزاد شده) اشاره می‌کند و به یک dangling pointer تبدیل می‌شود.

وقتی FetchNextItem() فراخوانی می‌ شود، از طریق این اشاره‌گر به حافظه آزاد شده دسترسی می‌ خواهد و منجر به Use-After-Free می ‌شود. در این وضعیت یک شیء در حافظه آزاد (free) می‌شود اما همچنان از طریق یک اشاره ‌گر معتبر فرض شده و مورد استفاده قرار می ‌گیرد. مهاجم می‌ تواند با ایجاد شرایط خاص در پردازش CSS و بارگذاری یک صفحه HTML دستکاری ‌شده، حافظه آزادشده را با داده ‌های کنترل‌ شده خود جایگزین کند. هنگامی که مرورگر مجدداً از آن اشاره ‌گر استفاده می ‌کند، داده‌ های مهاجم پردازش می ‌شوند که می ‌تواند منجر به خرابی حافظه (Memory Corruption)، کرش مرورگر یا اجرای کد دلخواه در فرآیند Renderer شود.

بخش آسیب‌پذیر

رفتار ناامن سیستم:

موتور رندرینگ Blink در گوگل کروم هنگام تکرار روی CSSFontFeatureValuesMap، به جای نگهداری یک کپی مستقل از HashMap داخلی، از یک اشاره ‌گر خام استفاده می ‌کند. اگر نقشه در حین تکرار تغییر کند، HashMap rehash شده و حافظه قدیمی آزاد می ‌شود، اما اشاره ‌گر همچنان به آن حافظه آزاد شده اشاره می ‌کند. دسترسی بعدی به این اشاره ‌گر منجر به خواندن از حافظه آزاد شده (Use-After-Free) می ‌شود که می ‌تواند منجر به crash فرآیند renderer یا در سناریوهای پیشرفته ‌تر، اجرای کد دلخواه درون sandbox مرورگر شود.

نحوه سوءاستفاده مهاجم:

مهاجم یک صفحه HTML حاوی عناصر CSS مخرب طراحی می ‌کند
کاربر قربانی با مرورگر آسیب ‌پذیر از این صفحه بازدید می‌ کند
صفحه HTML باعث آزادسازی زودهنگام یک شیء حافظه در پردازشگر CSS می ‌شود
مهاجم از روش Heap Spraying برای پر کردن حافظه آزادشده با کد مخرب خود استفاده می ‌کند
مرورگر به دلیل استفاده مجدد از ارجاع به حافظه آزادشده، داده‌های تزریق‌شده مهاجم را پردازش و کد مخرب را در محیط سندباکس اجرا می‌کند.

اگرچه اجرا در سندباکس محدود است، مهاجم می ‌تواند از آن برای فرار از سندباکس (Sandbox Escape) یا استخراج اطلاعات استفاده کند

نقش این آسیب‌پذیری در زنجیره حمله

این آسیب ‌پذیری یک ابزار اجرای کد از راه دور (Remote Code Execution) در محیط سندباکس و یک نقطه ورود اولیه (Initial Access) قدرتمند در زنجیره حمله محسوب می ‌شود. با توجه به نمره CVSS 8.8 (بالا)، ماهیت شبکه‌ای، بدون نیاز به احراز هویت، و در دسترس بودن اکسپلویت عمومی، این آسیب ‌پذیری یک تهدید جدی و فوری برای تمام کاربران مرورگرهای مبتنی بر Chromium محسوب می ‌شود.

پیش‌نیازهای بهره‌برداری (Prerequisites)

استفاده از نسخه آسیب‌پذیر Chrome
بازدید کاربر از صفحه HTML مخرب
فعال بودن JavaScript و CSS مرورگر
عدم نصب وصله امنیتی

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

موتور رندرینگ Blink باید هنگام ایجاد تکرارکننده روی CSSFontFeatureValuesMap ، یک deep copy از HashMap داخلی نگهداری کند، نه یک اشاره ‌گر خام
حتی اگر نقشه اصلی در حین تکرار تغییر کند و rehash شود، تکرارکننده باید روی کپی خودش کار کند و از dangling pointer جلوگیری شود
مکانیزم ‌های محافظتی مانند ASLR ، DEP و sandbox باید از تبدیل Use-After-Free به اجرای کد دلخواه جلوگیری کنند
فرآیند renderer باید در صورت تشخیص دسترسی به حافظه آزاد شده، به صورت ایمن crash کند (fail-safe) بدون اینکه اجازه اجرای کد مخرب را بدهد
Site Isolation باید فعال باشد تا تأثیر exploit به یک سایت محدود شود
اصل Fail Secure، هرگونه تلاش برای دسترسی به حافظه آزادشده باید منجر به پایان ایمن پردازش شود
پیاده ‌سازی Memory Safe Patterns و استفاده از ابزارهای تشخیصی مانند AddressSanitizer در فرآیند توسعه

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

به ‌روزرسانی Google Chrome به نسخه ‌های پچ ‌شده
به ‌روزرسانی سایر مرورگرهای مبتنی بر Chromium به آخرین نسخه ارائه ‌شده
اطمینان از فعال بودن Site Isolation در chrome://flags/#site-isolation-trial-opt-out

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

انجام اسکن تمام سیستم‌ های سازمان برای شناسایی نسخه ‌های آسیب‌پذیر مرورگرها و اعمال وصله به صورت متمرکز
پیاده‌ سازی و تقویت راهکارهای EDR (Endpoint Detection and Response) برای شناسایی رفتارهای مشکوک مرتبط با بهره ‌برداری از مرورگر
آموزش کاربران در خصوص خطرات باز کردن لینک‌ های ناشناس و دانلود فایل‌ های غیرقابل اعتماد
استفاده از ابزارهای ad-blocking و anti-malvertising برای کاهش سطح حمله از طریق تبلیغات مخرب

اقدامات بلندمدت برای کاهش ریسک:

تدوین و اجرای سیاست ” به‌روزرسانی خودکار مرورگر ” (Automated Browser Update) برای تمام سیستم ‌های سازمان
پیاده ‌سازی Content Security Policy (CSP) سخت‌ گیرانه برای وب ‌سایت ‌های سازمانی
استقرار سیستم ‌های تشخیص نفوذ مبتنی بر هاست ( HIDS ) برای پایش تغییرات غیرعادی در فرآیندهای مرورگر
آموزش تیم ‌های عملیاتی در خصوص خطرات آسیب ‌پذیری ‌های مرورگر و نحوه شناسایی و پاسخ به آن‌ها
پیاده ‌سازی فرآیندهای منظم تست نفوذ (Penetration Testing) و ارزیابی امنیتی برای کشف زودهنگام آسیب ‌پذیری ‌های مشابه در زیرساخت

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

Crash مکرر فرآیند renderer
پیام خطای “Can’t open this page” در گوگل کروم
فعالیت غیرعادی در لاگ ‌های مرورگر مرتبط با پردازش CSS
درخواست ‌های شبکه مشکوک از فرآیند renderer به دامنه ‌های غیرمعمول
تلاش برای دسترسی به حافظه آزاد شده در heap فرآیند renderer
اجرای Child Process های غیرمنتظره توسط Chrome

منابع پیشنهادی برای مانیتورینگ و پایش:

لاگ ‌های crash مرورگر
سیستم ‌های SIEM برای جمع ‌آوری و تحلیل مرکزی لاگ‌ ها
راهکارهای EDR (Endpoint Detection and Response) مانند CrowdStrike، SentinelOne، یا Microsoft Defender for Endpoint
ابزارهای مانیتورینگ شبکه برای شناسایی درخواست‌ های مشکوک به دامنه‌ های غیرمعمول
سیستم ‌های نظارت بر یکپارچگی فایل (FIM) مانند AIDE یا Tripwire برای تشخیص تغییرات غیرمجاز در فایل ‌های سیستمی
ابزارهای تحلیل حافظه (Memory Forensics) مانند Volatility برای بررسی heap فرآیند renderer

واکنش به حادثه (Incident Response)

ایزوله ‌سازی فوری، سیستم آسیب ‌دیده را از شبکه جدا کنید تا از حرکت جانبی مهاجم جلوگیری شود
جمع ‌آوری و حفظ لاگ ‌های crash مرورگر، لاگ ‌های شبکه برای تحلیل فارنزیک (Forensics)
بررسی وجود فایل ‌های مخرب یا تغییرات غیرمجاز در سیستم
بازنشانی تمام رمزهای عبور کاربران، توکن‌های session، و هر گونه اعتبار دسترسی
نصب فوری وصله امنیتی و به‌روزرسانی فوری مرورگر
بررسی یکپارچگی فایل‌ های سیستمی و شناسایی باینری‌های غیرمجاز
اسکن کامل سایر سیستم ‌های شبکه برای شناسایی علائم مشابه یا دسترسی مهاجم به آن‌ ها
مستندسازی کامل حادثه (زمان وقوع، نشانه‌ها، اقدامات انجام‌شده، درس‌آموخته‌ها) و گزارش به مدیریت ارشد و تیم واکنش سریع (CSIRT)

جریان حمله (Attack Flow)

در نمودار زیر (شکل ۱)، مهاجم یک صفحه HTML حاوی کد CSS دستکاری ‌شده ایجاد می ‌کند. قربانی با باز کردن صفحه، مرورگر Chrome را وادار به ایجاد وضعیت Use-After-Free در موتور CSS می‌ کند. حافظه آزادشده با داده ‌های کنترل ‌شده توسط مهاجم بازنویسی می ‌شود و مرورگر هنگام دسترسی مجدد به شیء آزادشده، کد مهاجم را در فرآیند Renderer اجرا می ‌کند. در ادامه مهاجم می ‌تواند از آسیب ‌پذیری‌های دیگر برای خروج از Sandbox و دستیابی به کنترل کامل سیستم استفاده کند.

شکل 1: جریان اجرای آسیب پذیری

اثبات مفهوم (PoC) — کاملاً غیرمخرب

آزمایشگاه تخصصی Vulnerbyte، این آسیب‌پذیری را در محیط ایزوله و کنترل‌شده با استفاده از نسخه آسیب‌پذیر بررسی و اجرا کرده است

این آزمایشگاه شامل نسخه آسیب‌پذیر Chromeاست
اجرای مرورگر در محیط آزمایشگاهی
باز کردن فایل poc.html و poc2.html
مشاهده Crash یا Trigger شدن وضعیت Memory Corruption
بررسی رفتار مرورگر در DevTools
اجرای PoC در محیط آزمایشگاهی منجر به crash شدن مرورگر در سامانه آسیب‌پذیر شد
این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و شامل تغییرات مخرب نمی‌شود

شکل 2: اجرای POC

رفع مسئولیت

این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوب‌های قانونی از محتوای آن ممنوع است.

منابع

https://www.cve.org/CVERecord?id=CVE-2026-2441

https://nvd.nist.gov/vuln/detail/CVE-2026-2441

https://github.com/huseyinstif/CVE-2026-2441-PoC

https://cwe.mitre.org/data/definitions/416.html

Chromium-based Browsers

CVE-2026-2441 – Use after free in CSS in Google Chrome allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page

Affects

Chromium-based web browsers including:
- Google Chrome
- Microsoft Edge
- Vivaldi
- Brave
- Opera
- Other Chromium-derived browsers

Affected Versions:

Browser	Vulnerable Versions	Fixed Version
Google Chrome (Windows/Mac)	Before 145.0.7632.75/76	145.0.7632.75/76 or later
Google Chrome (Linux)	Before 144.0.7559.75	145.0.7632.75 or later
Microsoft Edge	Before 144.0.3719.130 and 145.0.3800.58	144.0.3719.130 or 145.0.3800.58 or later
Vivaldi	Before 7.8.3925.73	7.8.3925.73 or later
Brave	Before 1.87.188	1.87.188 or later
Opera	Before 127.0.5778.64	127.0.5778.64 or later

Components:
- CSS component of Chromium’s rendering engine
- Memory management subsystem handling CSS parsing and layout

Description

CVE-2026-2441 is a critical Use After Free (UAF) vulnerability discovered in the CSS component of the Chromium rendering engine .

The vulnerability arises from a memory management flaw in how Chromium processes certain CSS features. When specific CSS properties or values are manipulated, the browser may improperly reference memory that has already been freed. An attacker can exploit this condition through a specially crafted HTML page that triggers the UAF condition .

When a user visits a malicious or compromised website, the vulnerability causes the browser to attempt to access memory after it has been deallocated. This can result in arbitrary code execution within the browser’s sandboxed environment . A public proof-of-concept exploit has been developed and is available online .

Key technical characteristics:

CWE: CWE-416 – Use After Free
Chromium security severity: High
Exploitability: Considered easy, requiring only a crafted HTML page
Exploit impact: Remote code execution within the sandboxed browser process

Attack Vector

Primary Attack Vector:
Remote / Network (requires user interaction)

Attack Scenario:

An attacker identifies users with vulnerable Chromium-based browsers
The attacker creates a specially crafted HTML page that triggers the use-after-free condition in the CSS engine when rendered
The attacker hosts the malicious page on a website or injects the exploit code into a compromised legitimate site
The attacker entices the victim to visit the page via phishing links, drive-by download techniques, or malicious advertisements
When the victim’s browser loads the crafted content, the vulnerability is triggered
The attacker can execute arbitrary code on the victim’s system within the context of the logged-on user

Key Characteristics:

Attribute	Details
Attack Vector	NETWORK
Attack Complexity	LOW
Privileges Required	NONE
User Interaction	REQUIRED (victim must visit crafted page)
Scope	UNCHANGED
Impact Type	Remote Code Execution

Conditions Increasing Risk:

Users browsing the internet without updated browser versions
Organizations with unmanaged or outdated browser deployments
Use of Chromium-based browsers in environments with elevated privileges
Lack of endpoint protection capable of detecting browser-based exploitation

Impact

Successful exploitation allows a remote attacker to:

Execute arbitrary code on the victim’s system within the context of the logged-on user
Bypass browser sandbox protections – the vulnerability enables code execution inside the sandbox, which could potentially be chained with a sandbox escape vulnerability
Install programs on the affected system
View, change, or delete data accessible to the logged-on user
Create new accounts with full user rights

Impact Area	Level	Description
Confidentiality	HIGH	Access to data accessible by the logged-on user
Integrity	HIGH	Ability to modify or delete data and programs
Availability	HIGH	Potential system compromise

Risk by User Privilege:

Users with administrative privileges are at highest risk (full system compromise possible)
Users with limited privileges face reduced impact but still experience data exposure and local compromise

Observed Exploitation & Threat Activity

Discovery: February 2026
Public Disclosure: February 13, 2026
CISA Known Exploited Vulnerabilities Catalog: Added February 17, 2026
Due Date for CISA-mandated Patching: March 10, 2026
Active Exploitation Confirmed: Yes – actively exploited in the wild as a zero-day
Public PoC: Available on GitHub and Exploit-DB (EDB-52542)
CVSS Score: 8.8 (High)

Exploit Availability:

Public proof-of-concept exploit code has been published
Nessus vulnerability plugin available (ID 299033)
CISA has cataloged the vulnerability as actively exploited

Severity & Metrics

CVSS v3.1 (NVD): High (8.8)
Attack Vector: NETWORK
Attack Complexity: LOW
Privileges Required: NONE
User Interaction: REQUIRED
Scope: UNCHANGED
Confidentiality Impact: HIGH
Integrity Impact: HIGH
Availability Impact: HIGH

Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Relevant CWE:

CWE-416 – Use After Free

Patch & Vendor Status

Official Patches Available: Yes – released February 13, 2026
Vendor: Google / Chromium Project

Patch Versions by Browser:

Browser	Fixed Version	Reference
Google Chrome (Windows/Mac)	145.0.7632.75/76 or later
Google Chrome (Linux)	145.0.7632.75 or later
Microsoft Edge	144.0.3719.130 or 145.0.3800.58 or later
Vivaldi	7.8.3925.73 or later
Brave	1.87.188 or later
Opera	127.0.5778.64 or later

Debian Linux Status:

Debian Release	Status	Version
Bullseye (oldstable)	Vulnerable (end-of-life)
Bookworm (stable)	Fixed	146.0.7680.164-1~deb12u1
Trixie (testing)	Fixed	146.0.7680.164-1~deb13u1
Sid (unstable)	Fixed	146.0.7680.164-1

Debian Security Advisory: DSA-6135-1

Mitigation & Remediation

Immediate Actions

Action	Method
Update Google Chrome	Chrome: Settings → About Chrome → Update
Update Microsoft Edge	Edge: Settings → About Microsoft Edge → Update
Update Vivaldi	Help → Check for Updates
Update Brave	Settings → About Brave → Update
Update Opera	Menu → Update & Recovery
Apply Debian/Enterprise patches	`sudo apt update && sudo apt upgrade chromium` (Debian)

Critical Reminder: Since this vulnerability is actively exploited in the wild, updates should be applied immediately rather than during normal patch cycles .

Short-Term Defensive Measures

If patching cannot be applied immediately:

Exercise caution when browsing – Avoid visiting untrusted websites or clicking suspicious links
Use browser security features – Enable Enhanced Safe Browsing in Chrome
Run browsers with least privilege – Avoid using administrator accounts for regular browsing
Consider using browser isolation – Run browsers in sandboxed or virtualized environments
Enable Click-to-Play for plugins – Reduce exposure to malicious content

Important Note: No workaround fully addresses the root cause of this vulnerability. Patching is the only complete mitigation.

Long-term Defensive Measures

Enable automatic browser updates – Ensure browsers are configured to update automatically
Implement enterprise browser management – Use tools to enforce browser version compliance
Monitor CISA Known Exploited Vulnerabilities – Check for newly active vulnerabilities
Use endpoint protection with exploit detection – Deploy EDR solutions capable of detecting browser exploit attempts
Educate users on drive-by download risks – Phishing awareness training

Detection & Monitoring

Recommended Detection Sources:

Source	Purpose
Vulnerability scanners (Nessus)	Plugin ID 299033 available
Enterprise browser management	Track Chrome/Edge versions across organization
CISA KEV Catalog	Monitor for active zero-day status
Check Point IPS	Protection ID: CPAI-2026-0972

Detection Strategy:

Inventory browser versions across your organization:

# Chrome version check
google-chrome --version
# Edge version check
microsoft-edge --version

Identify systems running vulnerable versions:
- Chrome (Windows/Mac): < 145.0.7632.75/76
- Chrome (Linux): < 144.0.7559.75
- Edge: < 144.0.3719.130 and < 145.0.3800.58
Monitor for exploitation attempts through network security solutions:
- Check Point IPS provides protection signatures
- Web gateways may detect malicious HTML patterns
Monitor CISA Known Exploited Vulnerabilities Catalog for updates

Indicators of Potential Exploitation:

Unexpected browser crashes or performance issues
Browser accessing known malicious domains
Unusual child processes spawned from browser processes
System compromises originating from web browsing activity

Post-Incident Response

If exploitation is suspected:

Isolate affected system from the network immediately to prevent lateral movement
Preserve forensic evidence – Collect:
- Browser history and cache
- System logs
- Network captures
- Memory dumps
Update affected browser to the patched version
Scan for malware – Use endpoint protection tools to check for persistent backdoors
Rotate credentials – Change passwords for any accounts accessed on the compromised system
Audit for persistence – Check for:
- Unauthorized browser extensions
- Unusual startup entries
- Modified system files
Assume data exposure if sensitive information was accessible during exploitation
Report to appropriate parties – Internal security teams, CSIRT, or CISA as required

For Enterprise Environments:

Apply patches through enterprise deployment tools immediately
Block traffic to known malicious domains
Monitor for other compromised systems in the network

References

بررسی آماری آسیب پذیری CVE-2026-2441 در کشور ایران

محصول آسیب پذیر: مرورگرهای مبتنی بر Chromium

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

تحلیل داده‌های StatCounter در سال ۲۰۲۶ حاکی از آن است که اکوسیستم مرورگرهای دسکتاپ در ایران، به‌طور انحصاری در اختیار خانواده کرومیوم قرار دارد. این گروه از مرورگرها بیش از 82.24 درصد سهم بازار را به خود اختصاص داده‌اند. جالب توجه است که گوگل کروم به‌تنهایی با سهم 78.33 درصدی، فاصله‌ای معنادار با رقبا داشته و پرمصرف‌ترین مرورگر وب در کشور به شمار می‌رود.

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

تعداد در زمان نگارش گزارش

موتور جستجو	Dork	تعداد
Google	site:.ir “Google Chrome”	615,200
Google	site:.ir “Chrome” “update”	425,000

وجود نمایندگی در ایران

شرکت‌های توسعه ‌دهنده مرورگرهای مبتنی بر Chromium (Google، Microsoft، Brave Software، Opera و Vivaldi) هیچ‌کدام دفتر رسمی یا نمایندگی در ایران ندارند. کاربران ایرانی برای دریافت و به ‌روزرسانی این مرورگرها عمدتاً به وب‌ سایت‌های رسمی، فروشگاه ‌های اپلیکیشن (مانند Google Play Store) و مخازن نرم ‌افزاری سیستم‌ عامل ‌های مختلف مراجعه می ‌کنند. هیچ گونه پشتیبانی رسمی از طرف شرکت سازنده در کشور وجود ندارد.

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

اگرچه آمار رسمی و دقیقی از تعداد سیستم‌های آسیب‌پذیر در ایران وجود ندارد، اما شواهد زیر نشان‌دهنده سطح قابل توجه ریسک است.

استفاده گسترده از Chromiumدر ایران: مرورگرهای مبتنی بر Chromiumبا سهم بیش از 82٪ از بازار مرورگرهای دسک تاپ، غالب ‌ترین پلتفرم مرورگر وب در ایران محسوب می‌شوند. Chromeبه تنهایی با سهم 33٪، پرمصرف ‌ترین مرورگر در کشور است. این سهم بالا به این معناست که ده ‌ها میلیون کاربر ایرانی به طور بالقوه در معرض این آسیب ‌پذیری قرار دارند.
محبوبیت در بین کاربران فارسی ‌زبان: وجود مقالات آموزشی متعدد در وب ‌سایت‌ های معتبر ایرانی و ویدیوهای آموزشی در آپارات و یوتیوب درباره نصب، تنظیمات و استفاده از مرورگرهای Chrome، Edge، Braveو Opera، نشان ‌دهنده استقبال گسترده از این محصولات در جامعه کاربران ایرانی است.
تخمین میزان استفاده: با توجه به تعداد کاربران مرورگرهای مبتنی بر Chromium در ایران و نرخ پایین به ‌روزرسانی در بین کاربران عادی، می‌توان تخمین زد که دست کم ۲۰ تا ۳۰ میلیون کاربر ایرانی به طور بالقوه در معرض این آسیب ‌پذیری قرار دارند. این موضوع به ویژه با توجه به اینکه این آسیب ‌پذیری در جهان در حال بهره ‌برداری است و کدهای اثبات مفهوم (PoC) به صورت عمومی در GitHub در دسترس است ، فوق‌العاده نگران‌کننده است.

منابع

https://gs.statcounter.com/browser-market-share/desktop/iran

CVE-2026-2441

اجرای کد از راه دور ناشی از Use-After-Free در مؤلفه CSS مرورگرهای مبتنی بر کرومیوم

گزارش اثبات آسیب‌پذیری CVE-2026-2441

محصول / نسخه‌های آسیب‌پذیر

محیط‌های درگیر

کامپوننت‌های آسیب‌پذیر

ریشه مشکل (Root Cause Analysis)

بخش آسیب‌پذیر

رفتار ناامن سیستم:

نحوه سوءاستفاده مهاجم:

نقش این آسیب‌پذیری در زنجیره حمله

پیش‌نیازهای بهره‌برداری (Prerequisites)

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

اقدامات بلندمدت برای کاهش ریسک:

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

منابع پیشنهادی برای مانیتورینگ و پایش:

واکنش به حادثه (Incident Response)

جریان حمله (Attack Flow)

اثبات مفهوم (PoC) — کاملاً غیرمخرب

رفع مسئولیت

منابع

Chromium-based Browsers

CVE-2026-2441 – Use after free in CSS in Google Chrome allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page

Affects

Description

Attack Vector

Impact

Observed Exploitation & Threat Activity

Severity & Metrics

Patch & Vendor Status

Mitigation & Remediation

Immediate Actions

Short-Term Defensive Measures

Long-term Defensive Measures

Detection & Monitoring

Post-Incident Response

References

بررسی آماری آسیب پذیری CVE-2026-2441 در کشور ایران

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

وجود نمایندگی در ایران

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

منابع

آسیب‌پذیری Splunk Enterprise با شدت بحرانی امکان اجرای کد بدون احراز هویت را برای مهاجمان فراهم می‌کند

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ