Уязвимост CVE-2026-11645 в Chrome
Google пусна спешни актуализации за сигурност, за да се справи с друга активно използвана zero-day уязвимост в браузъра Chrome. Недостатъкът, проследен като CVE-2026-11645, е петият zero-day пач за Chrome, отстранен от компанията от началото на 2026 г.
Според Google, доказателствата потвърждават, че експлойт, насочен към тази уязвимост, вече се използва в реални атаки. Проблемът е докладван анонимно на компанията и впоследствие е внедрена корекция чрез канала Stable Desktop.
В момента глобално се разпространяват обновени версии за Windows (149.0.7827.102), macOS (149.0.7827.103) и Linux (149.0.7827.102). Процесът на актуализация обаче може да отнеме няколко дни или дори седмици, преди да достигне до всички потребители на Chrome.
За тези, които не инсталират ръчно актуализации, Chrome е проектиран автоматично да проверява и прилага наличните корекции за сигурност при следващото стартиране на браузъра.
Съдържание
Вътрешен CVE-2026-11645: Опасен дефект в двигател V8
Уязвимостта с висока степен на сериозност произлиза от слабост за четене и запис извън границите в JavaScript енджина V8 на Chrome. Нападателите могат да използват недостатъка чрез специално създадени HTML страници, което потенциално позволява изпълнението на произволен код в пясъчната среда на браузъра.
Успешната експлоатация може да доведе до повреда на heap паметта, което позволява на атакуващите да имат достъп до паметта извън предвидените граници. Това поведение може да разкрие чувствителна информация, да причини сривове на браузъра или да улесни допълнителна злонамерена дейност.
Освен неоторизиран достъп до паметта, уязвимостта може да се използва и за заобикаляне на защитите, като например рандомизация на оформлението на адресното пространство (ASLR), което увеличава вероятността за изпълнение на код в комбинация с други слабости.
Ограничено разкриване за защита на потребителите
Въпреки че Google призна активното използване на уязвимостта, компанията все още не е разкрила технически подробности относно атаките. Достъпът до информация за грешки и свързани ресурси може да остане ограничен, докато значителна част от потребителите на Chrome не инсталират актуализацията за сигурност.
Ограниченията могат да продължат, ако засегнатият код съществува в библиотеки на трети страни, които се използват от други проекти и все още не са внедрили свои собствени корекции.
Нарастващ списък с нулеви заплахи през 2026 г.
CVE-2026-11645 се присъединява към няколко други zero-day атаки в Chrome, които бяха активно експлоатирани тази година:
- CVE-2026-2441 – Уязвимост, водеща до анулиране на итератор в CSSFontFeatureValuesMap, поправена през февруари.
- CVE-2026-3909 – Проблем с записа извън допустимите граници в 2D графичната библиотека на Skia, използван през март.
- CVE-2026-3910 – Уязвимост при неподходяща имплементация, засягаща JavaScript и WebAssembly енджина V8, използвана и през март.
- CVE-2026-5281 – Уязвимост от типа „използване след освобождаване на ресурсите“ в Dawn, кросплатформената WebGPU имплементация на Chromium, поправена през април.
Продължаващата битка на Chrome срещу експлойтите с нулев ден
Последната актуализация за спешни случаи подчертава постоянната заплаха, породена от уязвимости тип „нулев ден“, насочени към съвременните уеб браузъри. През 2025 г. Google отстрани осем допълнителни уязвимости тип „нулев ден“ в Chrome, които бяха използвани в реално време. Няколко от тези уязвимости бяха идентифицирани от Групата за анализ на заплахите (TAG) на Google, специализиран екип, известен с проследяването на сложни операции за кибершпионаж и шпионски кампании.
Продължаващото откриване на активно използвани недостатъци подчертава значението на навременните актуализации на браузъра и бързото отстраняване на уязвимости за защита на потребителите от развиващите се киберзаплахи.
