Vulnerabilitat de Chrome CVE-2026-11645
Google ha publicat actualitzacions de seguretat d'emergència per solucionar una altra vulnerabilitat zero-day explotada activament al navegador Chrome. La falla, registrada com a CVE-2026-11645, és el cinquè pegat zero-day de Chrome que l'empresa ha aplicat des de principis del 2026.
Segons Google, les proves confirmen que un exploit dirigit a aquesta vulnerabilitat ja s'està utilitzant en atacs del món real. El problema es va informar anònimament a l'empresa i posteriorment es va implementar una solució a través del canal Stable Desktop.
Actualment s'estan implementant versions actualitzades a nivell mundial per a Windows (149.0.7827.102), macOS (149.0.7827.103) i Linux (149.0.7827.102). Tanmateix, el procés d'actualització pot trigar diversos dies o fins i tot setmanes abans d'arribar a tots els usuaris de Chrome.
Per a aquells que no instal·len les actualitzacions manualment, Chrome està dissenyat per comprovar i aplicar automàticament les correccions de seguretat disponibles durant el proper inici del navegador.
Taula de continguts
Dins de CVE-2026-11645: Un defecte perillós del motor V8
La vulnerabilitat d'alta gravetat s'origina a partir d'una debilitat de lectura i escriptura fora dels límits del motor JavaScript V8 de Chrome. Els atacants poden explotar la falla a través de pàgines HTML especialment dissenyades, cosa que podria permetre l'execució de codi arbitrari dins de l'entorn de proves del navegador.
Una explotació reeixida pot provocar la corrupció del heap, permetent als atacants accedir a la memòria fora dels límits previstos. Aquest comportament pot exposar informació sensible, provocar bloquejos del navegador o facilitar activitats malicioses addicionals.
Més enllà de l'accés no autoritzat a la memòria, la vulnerabilitat també es podria aprofitar per eludir proteccions de seguretat com ara l'aleatorització del disseny de l'espai d'adreces (ASLR), augmentant la probabilitat d'aconseguir l'execució de codi quan es combina amb altres debilitats.
Divulgació limitada per protegir els usuaris
Tot i que Google ha reconegut l'explotació activa de la vulnerabilitat, l'empresa encara no ha revelat detalls tècnics sobre els atacs. L'accés a la informació sobre errors i recursos relacionats pot romandre restringit fins que una part important dels usuaris de Chrome hagin instal·lat l'actualització de seguretat.
Les restriccions també poden continuar si el codi afectat existeix dins de biblioteques de tercers que utilitzen altres projectes i que encara no han implementat les seves pròpies correccions.
Una llista creixent d’amenaces de dia zero el 2026
El CVE-2026-11645 s'uneix a altres errors zero-day de Chrome que s'han explotat activament aquest any:
- CVE-2026-2441 – Una vulnerabilitat d'invalidació d'iterador a CSSFontFeatureValuesMap, actualitzada al febrer.
- CVE-2026-3909: una falla d'escriptura fora de límits a la biblioteca de gràfics 2D de Skia, explotada al març.
- CVE-2026-3910 – Una vulnerabilitat d'implementació inapropiada que afecta el motor V8 JavaScript i WebAssembly, també explotada al març.
- CVE-2026-5281 – Una vulnerabilitat d'ús després de la llibertat a Dawn, la implementació multiplataforma de WebGPU de Chromium, amb pegats a l'abril.
La batalla contínua de Chrome contra els exploits de dia zero
L'última actualització d'emergència destaca l'amenaça persistent que representen les vulnerabilitats zero-day dirigides als navegadors web moderns. Al llarg del 2025, Google va abordar vuit vulnerabilitats zero-day addicionals de Chrome que van ser explotades in situ. Diverses d'aquestes vulnerabilitats van ser identificades pel Threat Analysis Group (TAG) de Google, un equip especialitzat conegut per rastrejar operacions sofisticades de ciberespionatge i campanyes de programari espia.
El descobriment continu de defectes explotats activament subratlla la importància de les actualitzacions oportunes del navegador i la correcció ràpida de vulnerabilitats per protegir els usuaris contra les amenaces cibernètiques en evolució.
