גוגל שחררה עדכון חירום לדפדפן כרום, לאחר שאישרה כי פרצת אבטחה חמורה מנוצלת בפועל על ידי תוקפים. מדובר בפרצה הראשונה מסוג "יום-אפס" (Zero-day) שגוגל מתקנת בכרום בשנת 2026, וכל מי שלא עדכן את הדפדפן בימים האחרונים, עשוי להיות חשוף.
הפרצה, שזוהתה בקוד CVE-2026-2441, מצויה ברכיב שאחראי על עיצוב גופנים בדפי אינטרנט. בפועל, זוהי טעות בניהול זיכרון: הדפדפן ממשיך לעשות שימוש בנתונים לאחר שאלה כבר נמחקו - מצב שניתן לנצל כדי להריץ קוד של התוקף בתוך סביבת הדפדפן.
בשפה פשוטה: תוקף יכול לבנות דף אינטרנט שנראה תמים לחלוטין, ולהשתמש בו כדי לבצע פעולות בתוך לשונית הדפדפן של הקורבן. הדבר אינו מקנה שליטה מלאה על המחשב, אך מספיק כדי לגנוב סיסמאות, לגשת לחשבונות פתוחים ולנתב מחדש תנועת רשת רגישה.
גוגל אישרה כי הפרצה מנוצלת בפועל, אך בהתאם לנהלים המקובלים בתעשייה, לא פרסמה פרטים על מי מותקף, באיזו תדירות, או כיצד בדיוק מתבצעת התקיפה. פרטים אלה יפורסמו בדרך כלל לאחר שרוב המשתמשים יסיימו לעדכן. Zero-day מתאר מצב שבו פרצת אבטחה מתגלה לפני שיצרנית התוכנה בכלל ידעה שהיא קיימת.
הפרצה דווחה לגוגל ב-11 בפברואר על ידי שאהין פאזים. בהמשך, פרסמה החברה עדכון נפרד ודחוף - צעד שנוקטת החברה רק כאשר היא מעריכה שהסיכון גבוה מדי מכדי להמתין לעדכון הרגיל הבא.
כדי לוודא שהדפדפן מוגן, מומלץ לבצע בדיקה יזומה. בכרום, ניתן לעשות זאת על ידי כניסה לתפריט ההגדרות, בחירה ב-"עזרה" ולחיצה על "מידע על Google Chrome". פעולה זו תאלץ את הדפדפן לבדוק אם קיים עדכון זמין ולהוריד אותו.
המנוע עליו מבוסס כרום, הנקרא כרומיום, משמש גם דפדפנים אחרים. Opera שחררה גרסה 127.0.5778.64 הכוללת את התיקון, ו-Vivaldi עדכן לגרסה 7.8. דפדפן Edge של מיקרוסופט, המבוסס אף הוא על כרומיום, צפוי לעדכון תואם - אך מועד מדויק לא אושר בשלב זה.
כרום הוא הדפדפן הנפוץ ביותר בישראל ובעולם. כל משתמש שלא אתחל את הדפדפן בימים האחרונים - גם אם העדכון הורד ברקע - עדיין חשוף. הפרצה אינה מאפשרת שליטה מלאה על המחשב, אך מאפשרת לתוקף "להיכנס" לתוך הלשונית הפתוחה, דבר שמספיק לגניבת אישורי כניסה, כרטיסי אשראי ועוד.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו