Google cho biết, họ nhận thức được rằng một lỗ hổng bảo mật liên quan đến CVE-2026-2441 đang tồn tại. Theo lịch sử Chromium commit, lỗ hổng use-after-free (được báo cáo bởi nhà nghiên cứu bảo mật Shaheen Fazim) là do lỗi vô hiệu hóa trình lặp trong CSSFontFeatureValuesMap, cách triển khai các giá trị thuộc tính phông chữ CSS của Chrome. Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công gây ra sự cố sập trình duyệt, các vấn đề hiển thị, lỗi dữ liệu hoặc các hành vi không xác định khác.

Thông báo commit cũng lưu ý rằng bản vá CVE-2026-2441 chỉ xử lý “vấn đề trước mắt”, cho thấy đây có thể chỉ là giải pháp tạm thời hoặc các vấn đề liên quan khác vẫn cần được giải quyết.

Bản vá này được gắn thẻ là “cherry-picked” (hoặc backported) trên nhiều commit, cho thấy nó đủ quan trọng để đưa vào bản phát hành ổn định thay vì chờ phiên bản chính tiếp theo (có thể vì lỗ hổng này đang bị khai thác trong thực tế). Mặc dù Google đã tìm thấy bằng chứng về việc tin tặc khai thác lỗ hổng bảo mật chưa được vá này trong thực tế, nhưng họ không chia sẻ thêm chi tiết nào về các sự cố này.

Google hiện đã khắc phục CVE-2026-2441 cho người dùng trên kênh Stable Desktop và các phiên bản mới sẽ được triển khai cho người dùng Windows, macOS (145.0.7632.75/76) và Linux (144.0.7559.75) trên toàn thế giới trong những ngày hoặc tuần tới.

Nếu không muốn cập nhật thủ công, người dùng cũng có thể cho phép Chrome tự động kiểm tra các bản cập nhật và cài đặt chúng sau lần khởi chạy tiếp theo.

Mặc dù đây là lỗ hổng bảo mật Chrome bị khai thác tích cực đầu tiên được vá kể từ đầu năm 2026, nhưng năm ngoái Google cũng đã giải quyết tổng cộng tám lỗ hổng zero-day bị lạm dụng trong thực tế, nhiều trong số đó được báo cáo bởi Nhóm phân tích mối đe dọa (TAG) của công ty, vốn nổi tiếng với việc theo dõi và xác định các lỗ hổng zero-day bị khai thác trong các cuộc tấn công phần mềm gián điệp nhắm vào các cá nhân có nguy cơ cao.