הצעת הנחה מרובה רישיונות
מסד נתונים של איומים פְּגִיעוּת פגיעות CVE-2026-11645 בכרום

פגיעות CVE-2026-11645 בכרום

עד Mezo ב-פְּגִיעוּת
לתרגם ל:

גוגל פרסמה עדכוני אבטחה חירום כדי לטפל בנקודת תורפה נוספת בדפדפן כרום, המנוצלת באופן פעיל. הפגם, המסומן כ-CVE-2026-11645, מסמן את תיקון ה-zero-day החמישי של כרום שתועד על ידי החברה מאז תחילת 2026.

לפי גוגל, ראיות מאשרות כי פרצת גישה שמכוונה לפגיעות זו כבר נמצאת בשימוש בהתקפות בעולם האמיתי. הבעיה דווחה באופן אנונימי לחברה, ותיקון נפרס לאחר מכן דרך ערוץ Stable Desktop.

גרסאות מתוקנות מושקות כעת ברחבי העולם עבור Windows (149.0.7827.102), macOS (149.0.7827.103) ו-Linux (149.0.7827.102). עם זאת, תהליך העדכון עשוי להימשך מספר ימים או אפילו שבועות לפני שיגיע לכל משתמשי Chrome.

עבור אלו שאינם מתקינים עדכונים באופן ידני, Chrome נועד לבדוק ולהחיל באופן אוטומטי תיקוני אבטחה זמינים במהלך ההפעלה הבאה של הדפדפן.

בתוך CVE-2026-11645: פגם מסוכן במנוע V8

הפגיעות, בעלת החומרה הגבוהה, נובעת מחולשה מחוץ לתחום של קריאה וכתיבה במנוע ה-JavaScript V8 של כרום. תוקפים יכולים לנצל את הפגם באמצעות דפי HTML בעלי מבנה מיוחד, מה שעלול לאפשר ביצוע קוד שרירותי בתוך סביבת ארגז החול של הדפדפן.

ניצול מוצלח של קוד עלול לגרום לפגיעות בזיכרון (heap), מה שיאפשר לתוקפים גישה לזיכרון מחוץ לגבולות המיועדים לכך. התנהגות זו עלולה לחשוף מידע רגיש, לגרום לקריסות דפדפן או להקל על פעילות זדונית נוספת.

מעבר לגישה בלתי מורשית לזיכרון, ניתן למנף את הפגיעות גם כדי לעקוף הגנות אבטחה כגון אקראי פריסת מרחב כתובות (ASLR), מה שמגדיל את הסבירות להשגת ביצוע קוד בשילוב עם נקודות תורפה אחרות.

גילוי נאות מוגבל להגנה על משתמשים

למרות שגוגל הודתה בניצול פעיל של הפגיעות, החברה טרם חשפה פרטים טכניים בנוגע להתקפות. הגישה למידע על באגים ומשאבים קשורים עשויה להישאר מוגבלת עד שחלק משמעותי ממשתמשי כרום יתקינו את עדכון האבטחה.

הגבלות עשויות להימשך גם אם הקוד המושפע קיים בספריות של צד שלישי הנמצאות בשימוש על ידי פרויקטים אחרים ועדיין לא יישמו תיקונים משלהן.

רשימה הולכת וגדלה של איומי אפס-יום בשנת 2026

CVE-2026-11645 מצטרף למספר תקלות אפס-ימים נוספות של Chrome שנוצלו באופן פעיל השנה:

  • CVE-2026-2441 – פגיעות של ביטול איטרטור ב-CSSFontFeatureValuesMap, שתוקנה בפברואר.
  • CVE-2026-3909 – פגם בכתיבה מחוץ לתחום בספריית הגרפיקה הדו-ממדית של Skia, שנוצל במרץ.
  • CVE-2026-3910 – פגיעות של יישום לא הולם המשפיעה על מנועי V8 JavaScript ו-WebAssembly, שנוצלה גם היא במרץ.
  • CVE-2026-5281 – פגיעות מסוג "use-after-free" ב-Dawn, יישום WebGPU חוצת פלטפורמות של Chromium, שתוקנה באפריל.

    • המאבק המתמשך של כרום נגד ניצול תקלות אפס-יום

    עדכון החירום האחרון מדגיש את האיום המתמשך שמציבות פגיעויות אפס-יום המכוונות לדפדפני אינטרנט מודרניים. במהלך שנת 2025, גוגל טיפלה בשמונה פגיעויות אפס-יום נוספות של Chrome שנוצלו בשטח. כמה מהפגיעויות הללו זוהו על ידי קבוצת ניתוח האיומים (TAG) של גוגל, צוות מיוחד הידוע במעקב אחר פעולות ריגול סייבר מתוחכמות וקמפיינים של תוכנות ריגול.

    הגילוי המתמשך של פגמים המנוצלים באופן פעיל מדגיש את החשיבות של עדכוני דפדפן בזמן ותיקון מהיר של פגיעויות בהגנה על משתמשים מפני איומי סייבר מתפתחים.

    מגמות

    הונאת דוא"ל בנושא הצעת מחיר ופרטים טכניים

    פישינג, ספאם
    פושעי סייבר משכללים ללא הרף את הטקטיקות שלהם כדי לגרום לאימיילים הונאה להיראות משכנעים, ולכן ערנות חיונית בכל פעם שמגיעה הודעה בלתי צפויה לתיבת הדואר הנכנס. אפילו אימיילים שנראים מקצועיים ועסקיים יכולים להיות הונאות שנועדו לגנוב מידע רגיש. קמפיין האימייל 'הצעת מחיר ופרטים טכניים' הוא איום כזה. למרות שההודעות טוענות שמקורן ב-Bayerische Industrie GmbH, הן אינן קשורות לאף חברה, ארגון או...

    הכי נצפה

    טוען...