CVE-2026-11645 Chrome-sårbarhed
Google har udgivet nødsikkerhedsopdateringer for at løse endnu en aktivt udnyttet zero-day-sårbarhed i Chrome-browseren. Fejlen, der er sporet som CVE-2026-11645, markerer den femte zero-day-patch til Chrome, som virksomheden har foretaget siden begyndelsen af 2026.
Ifølge Google bekræfter beviser, at en udnyttelse, der er rettet mod denne sårbarhed, allerede bruges i angreb i den virkelige verden. Problemet blev rapporteret anonymt til virksomheden, og en rettelse blev efterfølgende implementeret via Stable Desktop-kanalen.
Opdaterede versioner rulles i øjeblikket globalt ud til Windows (149.0.7827.102), macOS (149.0.7827.103) og Linux (149.0.7827.102). Opdateringsprocessen kan dog tage flere dage eller endda uger, før den når alle Chrome-brugere.
For dem, der ikke installerer opdateringer manuelt, er Chrome designet til automatisk at søge efter og anvende tilgængelige sikkerhedsrettelser ved næste browserstart.
Indholdsfortegnelse
Inde i CVE-2026-11645: En farlig fejl i V8-motoren
Den alvorlige sårbarhed stammer fra en svaghed i Chromes V8 JavaScript-motor, der er i stand til at læse og skrive uden for grænserne. Angribere kan udnytte fejlen gennem specialudformede HTML-sider, hvilket potentielt muliggør vilkårlig kodekørsel i browserens sandbox-miljø.
Vellykket udnyttelse kan resultere i heap-korruption, hvilket giver angribere adgang til hukommelse uden for de tilsigtede grænser. Denne adfærd kan afsløre følsomme oplysninger, forårsage browsernedbrud eller fremme yderligere ondsindet aktivitet.
Ud over uautoriseret hukommelsesadgang kan sårbarheden også udnyttes til at omgå sikkerhedsbeskyttelser som Address Space Layout Randomization (ASLR), hvilket øger sandsynligheden for at opnå kodeudførelse, når den kombineres med andre svagheder.
Begrænset offentliggørelse for at beskytte brugere
Selvom Google har anerkendt aktiv udnyttelse af sårbarheden, har virksomheden endnu ikke offentliggjort tekniske detaljer vedrørende angrebene. Adgang til fejlinformation og relaterede ressourcer kan forblive begrænset, indtil en betydelig del af Chrome-brugerne har installeret sikkerhedsopdateringen.
Begrænsninger kan også fortsætte, hvis den berørte kode findes i tredjepartsbiblioteker, der bruges af andre projekter, og som endnu ikke har implementeret deres egne rettelser.
En voksende liste over nuldagstrusler i 2026
CVE-2026-11645 slutter sig til adskillige andre Chrome zero-days-angreb, der er blevet aktivt udnyttet i år:
- CVE-2026-2441 – En sårbarhed i forbindelse med ugyldiggørelse af iteratorer i CSSFontFeatureValuesMap, opdateret i februar.
- CVE-2026-3909 – En skrivefejl uden for grænserne i Skia 2D-grafikbiblioteket, udnyttet i marts.
- CVE-2026-3910 – En sårbarhed i forbindelse med upassende implementering, der påvirker V8 JavaScript- og WebAssembly-motoren, som også blev udnyttet i marts.
- CVE-2026-5281 – En use-after-free-sårbarhed i Dawn, Chromiums tværplatformige WebGPU-implementering, opdateret i april.
Chromes fortsatte kamp mod zero-day-angreb
Den seneste nødopdatering fremhæver den vedvarende trussel fra zero-day-sårbarheder rettet mod moderne webbrowsere. I løbet af 2025 adresserede Google otte yderligere Chrome zero-day-sårbarheder, der blev udnyttet i naturen. Flere af disse sårbarheder blev identificeret af Googles Threat Analysis Group (TAG), et specialiseret team kendt for at spore sofistikerede cyberspionageoperationer og spywarekampagner.
Den fortsatte opdagelse af aktivt udnyttede fejl understreger vigtigheden af rettidige browseropdateringer og hurtig afhjælpning af sårbarheder for at beskytte brugerne mod nye cybertrusler.
