آسیب‌پذیری CVE-2026-11645 در کروم

گوگل به‌روزرسانی‌های امنیتی اضطراری را برای رفع یک آسیب‌پذیری روز صفر دیگر در مرورگر کروم که به‌طور فعال مورد سوءاستفاده قرار می‌گرفت، منتشر کرد. این نقص که با شناسه CVE-2026-11645 ردیابی می‌شود، پنجمین آسیب‌پذیری روز صفر کروم است که از ابتدای سال ۲۰۲۶ توسط این شرکت وصله شده است.

طبق گفته گوگل، شواهد تأیید می‌کند که سوءاستفاده‌ای که این آسیب‌پذیری را هدف قرار می‌دهد، در حال حاضر در حملات دنیای واقعی مورد استفاده قرار می‌گیرد. این مشکل به صورت ناشناس به شرکت گزارش شده و متعاقباً از طریق کانال پایدار دسکتاپ، رفع شده است.

نسخه‌های وصله‌شده در حال حاضر به صورت جهانی برای ویندوز (149.0.7827.102)، macOS (149.0.7827.103) و لینوکس (149.0.7827.102) منتشر می‌شوند. با این حال، فرآیند به‌روزرسانی ممکن است چند روز یا حتی چند هفته طول بکشد تا به دست همه کاربران کروم برسد.

برای کسانی که به‌روزرسانی‌ها را به صورت دستی نصب نمی‌کنند، کروم طوری طراحی شده است که به طور خودکار در هنگام راه‌اندازی بعدی مرورگر، اصلاحات امنیتی موجود را بررسی و اعمال کند.

درون CVE-2026-11645: یک نقص خطرناک در موتور V8

این آسیب‌پذیری با شدت بالا از یک ضعف خواندن و نوشتن خارج از محدوده در موتور جاوا اسکریپت V8 کروم سرچشمه می‌گیرد. مهاجمان می‌توانند از طریق صفحات HTML دستکاری‌شده خاص، از این نقص سوءاستفاده کنند و به‌طور بالقوه امکان اجرای کد دلخواه را در محیط sandbox مرورگر فراهم کنند.

سوءاستفاده‌ی موفقیت‌آمیز می‌تواند منجر به تخریب حافظه‌ی heap شود و به مهاجمان اجازه دهد تا به حافظه‌ی خارج از مرزهای تعیین‌شده دسترسی پیدا کنند. این رفتار ممکن است اطلاعات حساس را افشا کند، باعث از کار افتادن مرورگر شود یا فعالیت‌های مخرب بیشتری را تسهیل کند.

فراتر از دسترسی غیرمجاز به حافظه، این آسیب‌پذیری همچنین می‌تواند برای دور زدن محافظت‌های امنیتی مانند تصادفی‌سازی طرح‌بندی فضای آدرس (ASLR) مورد استفاده قرار گیرد و احتمال دستیابی به اجرای کد را در صورت ترکیب با سایر نقاط ضعف افزایش دهد.

افشای محدود برای محافظت از کاربران

اگرچه گوگل سوءاستفاده فعال از این آسیب‌پذیری را تأیید کرده است، اما این شرکت هنوز جزئیات فنی مربوط به این حملات را فاش نکرده است. دسترسی به اطلاعات مربوط به اشکالات و منابع مرتبط ممکن است تا زمانی که بخش قابل توجهی از کاربران کروم به‌روزرسانی امنیتی را نصب نکرده‌اند، محدود باقی بماند.

همچنین اگر کد آسیب‌دیده در کتابخانه‌های شخص ثالثی وجود داشته باشد که توسط پروژه‌های دیگر استفاده می‌شوند و هنوز اصلاحات خود را پیاده‌سازی نکرده‌اند، ممکن است محدودیت‌ها ادامه یابد.

فهرست رو به رشد تهدیدات روز صفر در سال ۲۰۲۶

CVE-2026-11645 به چندین آسیب‌پذیری روز صفر دیگر کروم که امسال به‌طور فعال مورد بهره‌برداری قرار گرفته‌اند، می‌پیوندد:

• CVE-2026-2441 - یک آسیب‌پذیری عدم اعتبارسنجی تکرارکننده در CSSFontFeatureValuesMap، که در ماه فوریه وصله شده است.

نبرد مداوم کروم علیه اکسپلویت‌های روز صفر

آخرین به‌روزرسانی اضطراری، تهدید مداوم ناشی از آسیب‌پذیری‌های روز صفر را که مرورگرهای وب مدرن را هدف قرار می‌دهند، برجسته می‌کند. در طول سال ۲۰۲۵، گوگل هشت آسیب‌پذیری روز صفر دیگر کروم را که در سطح اینترنت مورد سوءاستفاده قرار گرفته بودند، برطرف کرد. چندین مورد از این آسیب‌پذیری‌ها توسط گروه تحلیل تهدید گوگل (TAG)، یک تیم تخصصی که به دلیل ردیابی عملیات پیچیده جاسوسی سایبری و کمپین‌های جاسوسی شناخته می‌شود، شناسایی شدند.

کشف مداوم نقص‌های امنیتی که به طور فعال مورد سوءاستفاده قرار می‌گیرند، اهمیت به‌روزرسانی‌های به موقع مرورگر و رفع سریع آسیب‌پذیری‌ها را در محافظت از کاربران در برابر تهدیدات سایبری نوظهور برجسته می‌کند.