אושרי פנחס

גוגל משחררת עדכון חירום ל-Zero-Day הראשון של 2026 (CVE-2026-2441)

אם אתם מנהלי IT או CISO, זה הזמן להפעיל את נוהל העדכונים הדחוף שלכם.

גוגל שחררה לפני זמן קצר עדכון חירום לדפדפן Chrome (גרסה 145) כדי לסגור חולשת אבטחה קריטית שכבר מנוצלת בפועל (“In the wild”) על ידי תוקפים.

זוהי חולשת ה-Zero-Day הראשונה שאנחנו פוגשים בשנת 2026, והיא לא משחקים.

🔍 מה אנחנו יודעים? (פרטים טכניים)

• מזהה החולשה: CVE-2026-2441.
• רמת חומרה: גבוהה (CVSS 8.8).
• סוג החולשה: Use-After-Free (UAF) ברכיב ה-CSS של הדפדפן.
• המנגנון: הבאג נמצא ב-CSSFontFeatureValuesMap, שהוא חלק ממימוש הפונטים המודרני של כרום. שגיאה באיטרטור מאפשרת גישה לזיכרון שכבר שוחרר.

⚠️ מה הסיכון?

תוקף מרוחק יכול להריץ קוד זדוני (RCE) בתוך ה-Sandbox של הדפדפן. כל מה שנדרש הוא לגרום למשתמש להיכנס לדף HTML “בנוי במיוחד” (זדוני). למרות שהמתקפה מוגבלת ל-Sandbox, תוקפים מנוסים משתמשים בזה כשלב ראשון בשרשרת תקיפה (Exploit Chain) כדי להשיג שליטה מלאה על מערכת ההפעלה.

🛡️ מה צריך לעשות עכשיו?

1. למשתמשים פרטיים: גשו ל-Settings -> About Chrome וודאו שהדפדפן מתעדכן לגרסה האחרונה עכשיו.
2. למנהלי IT: אל תחכו לעדכון האוטומטי. דחפו את העדכון דרך ה-RMM, ה-GPO או פלטפורמת ניהול ה-Patch שלכם באופן מיידי לכל הארגון.
3. מודעות: תזכרו לעובדים לא ללחוץ על לינקים חשודים, במיוחד בשעות הקרובות עד שהעדכון יופץ במלואו.

בסייבר, המהירות היא הכל. אל תהיו הארגון שנתפס עם דפדפן לא מעודכן.

📚 מקורות ורפרנסים:

1. Google Security Update / SecurityWeek Report (Feb 2026): Details regarding CVE-2026-2441, Chrome 145 emergency patch, and active exploitation confirmation.

#CyberSecurity #ZeroDay #ChromeUpdate #InfoSec #VulnerabilityManagement #CVE20262441 #ITManager #אבטחתמידע

• הפיל שבחדר השרתים: למה הכנסת ChatGPT לארגון מבוסס Google Workspace היא טעות אסטרטגית (וביטחונית)
• למה כולם מדברים על JumpCloud? (ו-20 שאלות שיעזרו לכם להבין אם זה בשבילכם)
• הלם בקו”ם של מנהל ה-IT: המדריך המלא ל-30 הימים הראשונים בתפקיד החדש
• האנטי-וירוס צועק “זאב”: המדריך המלא לניהול False Positives ב-SentinelOne (ואיך לא ליפול בפח)
• למה ManageEngine Endpoint Central הוא ה-Game Changer של ניהול ה-IT