CVE-2026-11645 Chrome'i haavatavus
Google on avaldanud erakorralised turvavärskendused, et lahendada järjekordne aktiivselt ärakasutatud nullpäeva haavatavus Chrome'i brauseris. Viga, mille CVE-2026-11645 on viies Chrome'i nullpäeva haavatavus, mille ettevõte on alates 2026. aasta algusest parandanud.
Google'i sõnul kinnitavad tõendid, et sellele haavatavusele suunatud ärakasutamist kasutatakse juba reaalsetes rünnakutes. Probleemist teatati ettevõttele anonüümselt ja seejärel jagati parandus stabiilse töölaua kanali kaudu.
Parandatud versioone jagatakse praegu ülemaailmselt Windowsi (149.0.7827.102), macOS-i (149.0.7827.103) ja Linuxi (149.0.7827.102) jaoks. Värskendusprotsess võib aga kõigi Chrome'i kasutajateni jõudmiseks võtta mitu päeva või isegi nädalat.
Neile, kes värskendusi käsitsi ei installi, on Chrome loodud nii, et see kontrollib brauseri järgmisel käivitamisel automaatselt saadaolevaid turvaparandusi ja rakendab neid.
Sisukord
CVE-2026-11645 sees: ohtlik V8 mootori viga
See kõrge riskiga haavatavus tuleneb Chrome'i V8 JavaScripti mootori lugemis- ja kirjutamisfunktsioonide lubamatust nõrkusest. Ründajad saavad seda viga ära kasutada spetsiaalselt loodud HTML-lehtede kaudu, mis potentsiaalselt võimaldab suvalise koodi käivitamist brauseri liivakastikeskkonnas.
Edukas ärakasutamine võib põhjustada mälu riknemist, mis võimaldab ründajatel pääseda juurde mälule väljaspool ettenähtud piire. Selline käitumine võib paljastada tundlikku teavet, põhjustada brauseri krahhe või hõlbustada täiendavat pahatahtlikku tegevust.
Lisaks volitamata mälule juurdepääsule saab seda haavatavust ära kasutada ka turvakaitsemeetmete, näiteks aadressiruumi paigutuse randomiseerimise (ASLR), möödahiilimiseks, suurendades koodi käivitamise tõenäosust koos teiste nõrkustega.
Piiratud avalikustamine kasutajate kaitsmiseks
Kuigi Google on haavatavuse aktiivset ärakasutamist tunnistanud, ei ole ettevõte veel rünnakute tehnilisi üksikasju avaldanud. Juurdepääs veateabele ja seotud ressurssidele võib jääda piiratuks, kuni märkimisväärne osa Chrome'i kasutajatest on turvavärskenduse installinud.
Piirangud võivad kehtida ka siis, kui mõjutatud kood asub kolmandate osapoolte teekides, mida kasutavad teised projektid ja mis pole veel oma parandusi rakendanud.
Kasvav nimekiri nullpäevaohtudest 2026. aastal
CVE-2026-11645 liitub mitme teise Chrome'i nullpäeva hüüdnimega, mida sel aastal aktiivselt ära on kasutatud:
- CVE-2026-2441 – CSSFontFeatureValuesMapi iteraatori kehtetuks tunnistamise haavatavus, mis parandati veebruaris.
- CVE-2026-3909 – Skia 2D graafikateegis esinev piiridest väljas olev kirjutamisviga, mida kasutati ära märtsis.
- CVE-2026-3910 – Sobimatu implementatsiooni haavatavus, mis mõjutab V8 JavaScripti ja WebAssembly mootorit ning mida kasutati ära ka märtsis.
- CVE-2026-5281 – Dawni, Chromiumi platvormideülese WebGPU implementatsiooni, mis parandati aprillis pärast vabastamist esineva kasutamise haavatavuse.
Chrome’i jätkuv võitlus nullpäevarünnakute vastu
Viimane hädaolukorra värskendus toob esile püsiva ohu, mida kujutavad endast tänapäevaseid veebibrausereid sihtivad nullpäeva haavatavused. 2025. aasta jooksul tegeles Google veel kaheksa Chrome'i nullpäeva haavatavusega, mida ära kasutati. Mitmed neist haavatavustest tuvastas Google'i ohuanalüüsi grupp (TAG), spetsialiseerunud meeskond, mis on tuntud keerukate küberspionaažioperatsioonide ja nuhkvarakampaaniate jälgimise poolest.
Aktiivselt ärakasutatud vigade pidev avastamine rõhutab õigeaegsete brauseriuuenduste ja haavatavuste kiire parandamise olulisust kasutajate kaitsmisel arenevate küberohtude eest.
