CVE-2026-11645 क्रोम सुरक्षा खामी
Google ने Chrome ब्राउज़र में सक्रिय रूप से उपयोग की जा रही एक और ज़ीरो-डे सुरक्षा खामी को दूर करने के लिए आपातकालीन सुरक्षा अपडेट जारी किए हैं। CVE-2026-11645 के रूप में ट्रैक की गई यह खामी, 2026 की शुरुआत से कंपनी द्वारा ठीक की गई पांचवीं Chrome ज़ीरो-डे सुरक्षा खामी है।
गूगल के अनुसार, साक्ष्य इस बात की पुष्टि करते हैं कि इस भेद्यता को लक्षित करने वाले एक एक्सप्लॉइट का उपयोग पहले से ही वास्तविक दुनिया के हमलों में किया जा रहा है। इस समस्या की सूचना कंपनी को गुमनाम रूप से दी गई थी, और इसके बाद स्टेबल डेस्कटॉप चैनल के माध्यम से इसका समाधान जारी किया गया।
विंडोज (149.0.7827.102), मैकओएस (149.0.7827.103) और लिनक्स (149.0.7827.102) के लिए पैच किए गए संस्करण वर्तमान में विश्व स्तर पर जारी किए जा रहे हैं। हालांकि, सभी क्रोम उपयोगकर्ताओं तक पहुंचने में अपडेट प्रक्रिया में कई दिन या यहां तक कि सप्ताह भी लग सकते हैं।
जो लोग मैन्युअल रूप से अपडेट इंस्टॉल नहीं करते हैं, उनके लिए क्रोम को इस तरह से डिज़ाइन किया गया है कि वह अगली बार ब्राउज़र खोलने पर उपलब्ध सुरक्षा सुधारों की स्वचालित रूप से जांच करे और उन्हें लागू करे।
विषयसूची
CVE-2026-11645 के अंतर्गत: एक खतरनाक V8 इंजन दोष
यह गंभीर सुरक्षा खामी क्रोम के V8 जावास्क्रिप्ट इंजन में मौजूद एक सीमा से बाहर की रीड और राइट कमजोरी से उत्पन्न होती है। हमलावर विशेष रूप से तैयार किए गए HTML पेजों के माध्यम से इस खामी का फायदा उठा सकते हैं, जिससे ब्राउज़र के सैंडबॉक्स वातावरण में मनमाना कोड निष्पादन संभव हो सकता है।
सफल शोषण के परिणामस्वरूप मेमोरी में गड़बड़ी हो सकती है, जिससे हमलावर निर्धारित सीमाओं से बाहर मेमोरी तक पहुंच सकते हैं। इस व्यवहार से संवेदनशील जानकारी उजागर हो सकती है, ब्राउज़र क्रैश हो सकता है या अन्य दुर्भावनापूर्ण गतिविधियों को बढ़ावा मिल सकता है।
अनधिकृत मेमोरी एक्सेस के अलावा, इस भेद्यता का लाभ एड्रेस स्पेस लेआउट रैंडमाइजेशन (एएसएलआर) जैसी सुरक्षा सुरक्षा प्रणालियों को दरकिनार करने के लिए भी उठाया जा सकता है, जिससे अन्य कमजोरियों के साथ मिलकर कोड निष्पादन प्राप्त करने की संभावना बढ़ जाती है।
उपयोगकर्ताओं की सुरक्षा के लिए सीमित प्रकटीकरण
हालांकि गूगल ने इस खामी के सक्रिय दुरुपयोग को स्वीकार किया है, लेकिन कंपनी ने अभी तक हमलों से संबंधित तकनीकी विवरणों का खुलासा नहीं किया है। जब तक क्रोम उपयोगकर्ताओं का एक बड़ा हिस्सा सुरक्षा अपडेट इंस्टॉल नहीं कर लेता, तब तक बग की जानकारी और संबंधित संसाधनों तक पहुंच प्रतिबंधित रह सकती है।
यदि प्रभावित कोड अन्य परियोजनाओं द्वारा उपयोग की जाने वाली तृतीय-पक्ष पुस्तकालयों के भीतर मौजूद है और उन्होंने अभी तक अपने स्वयं के समाधान लागू नहीं किए हैं, तो प्रतिबंध जारी रह सकते हैं।
2026 में शून्य-दिन के खतरों की बढ़ती सूची
CVE-2026-11645 उन कई अन्य क्रोम जीरो-डे खतरों में शामिल हो गया है जिनका इस वर्ष सक्रिय रूप से फायदा उठाया गया है:
- CVE-2026-2441 – CSSFontFeatureValuesMap में एक इटरेटर इनवैलिडेशन भेद्यता, जिसे फरवरी में ठीक कर दिया गया था।
- CVE-2026-3909 – Skia 2D ग्राफिक्स लाइब्रेरी में एक आउट-ऑफ-बाउंड राइट दोष, जिसका मार्च में फायदा उठाया गया था।
- CVE-2026-3910 – V8 जावास्क्रिप्ट और वेबअसेंबली इंजन को प्रभावित करने वाली एक अनुचित कार्यान्वयन भेद्यता, जिसका मार्च में भी फायदा उठाया गया था।
- CVE-2026-5281 – डॉन में एक यूज़-आफ्टर-फ्री भेद्यता, जो क्रोमियम का क्रॉस-प्लेटफ़ॉर्म वेबजीपीयू कार्यान्वयन है, जिसे अप्रैल में पैच किया गया था।
जीरो-डे एक्सप्लॉइट्स के खिलाफ क्रोम की निरंतर लड़ाई
नवीनतम आपातकालीन अपडेट आधुनिक वेब ब्राउज़रों को निशाना बनाने वाली ज़ीरो-डे कमजोरियों से उत्पन्न निरंतर खतरे को उजागर करता है। 2025 के दौरान, Google ने Chrome की आठ अतिरिक्त ज़ीरो-डे कमजोरियों को ठीक किया, जिनका व्यापक रूप से दुरुपयोग किया जा रहा था। इनमें से कई कमजोरियों की पहचान Google के थ्रेट एनालिसिस ग्रुप (TAG) ने की थी, जो साइबर जासूसी और स्पाइवेयर अभियानों पर नज़र रखने के लिए जानी जाने वाली एक विशेष टीम है।
सक्रिय रूप से उपयोग किए जा रहे दोषों की निरंतर खोज, उपयोगकर्ताओं को विकसित हो रहे साइबर खतरों से बचाने के लिए समय पर ब्राउज़र अपडेट और त्वरित भेद्यता निवारण के महत्व को रेखांकित करती है।
