CVE-2026-11645 Chromen haavoittuvuus
Google on julkaissut hätäpäivityksiä korjatakseen Chrome-selaimen toisen aktiivisesti hyödynnetyn nollapäivähaavoittuvuuden. Haavoittuvuus, jonka tunnistenumero on CVE-2026-11645, on viides Chromen nollapäiväkorjaus, jonka yritys on tehnyt vuoden 2026 alun jälkeen.
Googlen mukaan todisteet vahvistavat, että tähän haavoittuvuuteen kohdistuvaa hyväksikäyttömenetelmää käytetään jo oikeissa hyökkäyksissä. Ongelmasta ilmoitettiin yritykselle nimettömästi, ja korjaus julkaistiin myöhemmin Stable Desktop -kanavan kautta.
Korjattuja versioita julkaistaan parhaillaan maailmanlaajuisesti Windowsille (149.0.7827.102), macOS:lle (149.0.7827.103) ja Linuxille (149.0.7827.102). Päivitysprosessi voi kuitenkin kestää useita päiviä tai jopa viikkoja ennen kuin se saavuttaa kaikki Chromen käyttäjät.
Niille, jotka eivät asenna päivityksiä manuaalisesti, Chrome on suunniteltu tarkistamaan ja asentamaan saatavilla olevat tietoturvakorjaukset automaattisesti seuraavan selaimen käynnistyksen yhteydessä.
Sisällysluettelo
CVE-2026-11645: Vaarallinen V8-moottorin vika
Vakavan luokan haavoittuvuus johtuu Chromen V8 JavaScript -moottorin luku- ja kirjoitusrajoitusten ulkopuolisesta heikkoudesta. Hyökkääjät voivat hyödyntää tätä puutetta erityisesti luotujen HTML-sivujen avulla, mikä voi mahdollistaa mielivaltaisen koodin suorittamisen selaimen hiekkalaatikkoympäristössä.
Onnistunut hyväksikäyttö voi johtaa muistin korruptoitumiseen, jolloin hyökkääjät voivat käyttää muistia tarkoitettujen rajojen ulkopuolella. Tämä voi paljastaa arkaluonteisia tietoja, aiheuttaa selainten kaatumisia tai helpottaa muita haitallisia toimia.
Luvattoman muistin käytön lisäksi haavoittuvuutta voidaan hyödyntää myös suojausmenetelmien, kuten Address Space Layout Randomization (ASLR), ohittamiseen, mikä lisää koodin suorittamisen todennäköisyyttä yhdistettynä muihin heikkouksiin.
Rajoitettu tiedonanto käyttäjien suojelemiseksi
Vaikka Google on myöntänyt haavoittuvuuden aktiivisen hyödyntämisen, yritys ei ole vielä paljastanut hyökkäysten teknisiä yksityiskohtia. Pääsy bugitietoihin ja niihin liittyviin resursseihin voi pysyä rajoitettuna, kunnes merkittävä osa Chromen käyttäjistä on asentanut tietoturvapäivityksen.
Rajoitukset voivat jatkua myös, jos kyseinen koodi on kolmannen osapuolen kirjastoissa, joita käytetään muissa projekteissa, eivätkä ne ole vielä toteuttaneet omia korjauksiaan.
Kasvava lista nollapäiväuhista vuonna 2026
CVE-2026-11645 liittyy useisiin muihin Chromen nollapäivähaittaohjelmiin, joita on aktiivisesti hyödynnetty tänä vuonna:
- CVE-2026-2441 – Iteraattorin mitätöintihaavoittuvuus CSSFontFeatureValuesMapissa, korjattu helmikuussa.
- CVE-2026-3909 – Skia 2D -grafiikkakirjastossa oleva kirjoitusvirhe, jota hyödynnettiin maaliskuussa.
- CVE-2026-3910 – V8 JavaScript- ja WebAssembly-moottoriin vaikuttava sopimaton toteutushaavauma, jota hyödynnettiin myös maaliskuussa.
- CVE-2026-5281 – Dawnissa, Chromiumin alustojenvälisessä WebGPU-toteutuksessa, oleva "use after free" -haavoittuvuus, joka korjattiin huhtikuussa.
Chromen jatkuva taistelu nollapäivähyökkäyksiä vastaan
Viimeisin hätätilannepäivitys korostaa nykyaikaisiin verkkoselaimiin kohdistuvien nollapäivähaavoittuvuuksien aiheuttamaa jatkuvaa uhkaa. Vuoden 2025 aikana Google käsitteli kahdeksaa uutta Chromen nollapäivähaavoittuvuutta, joita hyödynnettiin luonnossa. Useita näistä haavoittuvuuksista tunnisti Googlen Threat Analysis Group (TAG), erikoistunut tiimi, joka tunnetaan kehittyneiden kybervakoiluoperaatioiden ja vakoiluohjelmakampanjoiden seurannasta.
Aktiivisesti hyödynnettyjen haavoittuvuuksien jatkuva löytäminen korostaa oikea-aikaisten selainpäivitysten ja haavoittuvuuksien nopean korjaamisen merkitystä käyttäjien suojaamisessa kehittyviltä kyberuhilta.
