Ευπάθεια CVE-2026-11645 στο Chrome
Η Google κυκλοφόρησε επείγουσες ενημερώσεις ασφαλείας για την αντιμετώπιση μιας ακόμη ευπάθειας zero-day στο πρόγραμμα περιήγησης Chrome που έχει χρησιμοποιηθεί ενεργά. Το ελάττωμα, που εντοπίστηκε ως CVE-2026-11645, σηματοδοτεί την πέμπτη zero-day ενημέρωση κώδικα του Chrome που έχει ενημερωθεί από την εταιρεία από τις αρχές του 2026.
Σύμφωνα με την Google, τα στοιχεία επιβεβαιώνουν ότι ένα exploit που στοχεύει αυτό το κενό ασφαλείας χρησιμοποιείται ήδη σε επιθέσεις στον πραγματικό κόσμο. Το πρόβλημα αναφέρθηκε ανώνυμα στην εταιρεία και στη συνέχεια αναπτύχθηκε μια λύση μέσω του καναλιού Stable Desktop.
Οι ενημερωμένες εκδόσεις κυκλοφορούν αυτήν τη στιγμή παγκοσμίως για Windows (149.0.7827.102), macOS (149.0.7827.103) και Linux (149.0.7827.102). Ωστόσο, η διαδικασία ενημέρωσης ενδέχεται να διαρκέσει αρκετές ημέρες ή και εβδομάδες πριν φτάσει σε όλους τους χρήστες του Chrome.
Για όσους δεν εγκαθιστούν ενημερώσεις χειροκίνητα, το Chrome έχει σχεδιαστεί για να ελέγχει και να εφαρμόζει αυτόματα τις διαθέσιμες διορθώσεις ασφαλείας κατά την επόμενη εκκίνηση του προγράμματος περιήγησης.
Πίνακας περιεχομένων
Μέσα στο CVE-2026-11645: Ένα επικίνδυνο ελάττωμα στον κινητήρα V8
Το ευάλωτο σημείο υψηλής σοβαρότητας προέρχεται από μια αδυναμία ανάγνωσης και εγγραφής εκτός ορίων στη μηχανή JavaScript V8 του Chrome. Οι εισβολείς μπορούν να εκμεταλλευτούν το ελάττωμα μέσω ειδικά κατασκευασμένων σελίδων HTML, επιτρέποντας ενδεχομένως την εκτέλεση αυθαίρετου κώδικα μέσα στο περιβάλλον sandbox του προγράμματος περιήγησης.
Η επιτυχής εκμετάλλευση μπορεί να οδηγήσει σε καταστροφή της μνήμης σε heap, επιτρέποντας στους εισβολείς να έχουν πρόσβαση στη μνήμη εκτός των προβλεπόμενων ορίων. Αυτή η συμπεριφορά μπορεί να εκθέσει ευαίσθητες πληροφορίες, να προκαλέσει διακοπές λειτουργίας του προγράμματος περιήγησης ή να διευκολύνει πρόσθετη κακόβουλη δραστηριότητα.
Πέρα από την μη εξουσιοδοτημένη πρόσβαση στη μνήμη, η ευπάθεια θα μπορούσε επίσης να αξιοποιηθεί για την παράκαμψη προστασιών ασφαλείας, όπως η Τυχαιοποίηση Διάταξης Χώρου Διευθύνσεων (ASLR), αυξάνοντας την πιθανότητα εκτέλεσης κώδικα σε συνδυασμό με άλλες αδυναμίες.
Περιορισμένη Αποκάλυψη για την Προστασία των Χρηστών
Παρόλο που η Google έχει παραδεχτεί την ενεργή εκμετάλλευση της ευπάθειας, η εταιρεία δεν έχει ακόμη αποκαλύψει τεχνικές λεπτομέρειες σχετικά με τις επιθέσεις. Η πρόσβαση σε πληροφορίες σφαλμάτων και σχετικούς πόρους ενδέχεται να παραμείνει περιορισμένη έως ότου ένα σημαντικό μέρος των χρηστών του Chrome εγκαταστήσει την ενημέρωση ασφαλείας.
Οι περιορισμοί ενδέχεται επίσης να συνεχιστούν εάν ο επηρεαζόμενος κώδικας υπάρχει σε βιβλιοθήκες τρίτων που χρησιμοποιούνται από άλλα έργα και δεν έχουν ακόμη εφαρμόσει τις δικές τους διορθώσεις.
Μια αυξανόμενη λίστα με απειλές μηδενικής ημέρας το 2026
Το CVE-2026-11645 προστίθεται σε πολλά άλλα zero-days του Chrome που έχουν αξιοποιηθεί ενεργά φέτος:
- CVE-2026-2441 – Ένα θέμα ευπάθειας ακύρωσης επαναληπτών στο CSSFontFeatureValuesMap, το οποίο ενημερώθηκε τον Φεβρουάριο.
Η συνεχής μάχη του Chrome ενάντια στα Zero-Day exploits
Η τελευταία ενημέρωση έκτακτης ανάγκης υπογραμμίζει την επίμονη απειλή που θέτουν τα τρωτά σημεία zero-day που στοχεύουν τα σύγχρονα προγράμματα περιήγησης ιστού. Καθ' όλη τη διάρκεια του 2025, η Google αντιμετώπισε οκτώ επιπλέον τρωτά σημεία zero-day του Chrome που έγιναν αντικείμενο εκμετάλλευσης σε πραγματικό χρόνο. Αρκετά από αυτά τα τρωτά σημεία εντοπίστηκαν από την Ομάδα Ανάλυσης Απειλών (TAG) της Google, μια εξειδικευμένη ομάδα γνωστή για την παρακολούθηση εξελιγμένων επιχειρήσεων κυβερνοκατασκοπείας και καμπανιών spyware.
Η συνεχής ανακάλυψη ενεργά εκμεταλλευόμενων ελαττωμάτων υπογραμμίζει τη σημασία των έγκαιρων ενημερώσεων των προγραμμάτων περιήγησης και της ταχείας αποκατάστασης τρωτών σημείων για την προστασία των χρηστών από τις εξελισσόμενες κυβερνοαπειλές.
