Ranjivost CVE-2026-11645 u Chromeu
Google je objavio hitna sigurnosna ažuriranja kako bi riješio još jednu aktivno iskorištenu zero-day ranjivost u pregledniku Chrome. Propust, označen kao CVE-2026-11645, označava petu zero-day zakrpu za Chrome koju je tvrtka ispravila od početka 2026. godine.
Prema Googleu, dokazi potvrđuju da se iskorištavanje usmjereno na ovu ranjivost već koristi u stvarnim napadima. Problem je anonimno prijavljen tvrtki, a ispravak je naknadno implementiran putem kanala Stable Desktop.
Zakrpane verzije trenutno se globalno uvode za Windows (149.0.7827.102), macOS (149.0.7827.103) i Linux (149.0.7827.102). Međutim, proces ažuriranja može potrajati nekoliko dana ili čak tjedana prije nego što dođe do svih korisnika Chromea.
Za one koji ne instaliraju ažuriranja ručno, Chrome je dizajniran da automatski provjerava i primjenjuje dostupna sigurnosna rješenja prilikom sljedećeg pokretanja preglednika.
Sadržaj
Unutar CVE-2026-11645: Opasna greška V8 motora
Ranjivost visoke ozbiljnosti proizlazi iz slabosti čitanja i pisanja izvan granica unutar Chromeovog V8 JavaScript mehanizma. Napadači mogu iskoristiti propust putem posebno izrađenih HTML stranica, što potencijalno omogućuje izvršavanje proizvoljnog koda unutar sandbox okruženja preglednika.
Uspješno iskorištavanje može rezultirati oštećenjem memorije (heap), što napadačima omogućuje pristup memoriji izvan predviđenih granica. Takvo ponašanje može otkriti osjetljive informacije, uzrokovati pad preglednika ili olakšati dodatne zlonamjerne aktivnosti.
Osim neovlaštenog pristupa memoriji, ranjivost bi se mogla iskoristiti i za zaobilaženje sigurnosnih zaštita poput randomizacije rasporeda adresnog prostora (ASLR), povećavajući vjerojatnost izvršavanja koda u kombinaciji s drugim slabostima.
Ograničeno otkrivanje radi zaštite korisnika
Iako je Google priznao aktivno iskorištavanje ranjivosti, tvrtka još nije otkrila tehničke detalje o napadima. Pristup informacijama o pogreškama i povezanim resursima može ostati ograničen dok značajan dio korisnika Chromea ne instalira sigurnosno ažuriranje.
Ograničenja se mogu nastaviti i ako pogođeni kod postoji unutar biblioteka trećih strana koje koriste drugi projekti, a još nisu implementirale vlastite ispravke.
Rastući popis zero-day prijetnji u 2026. godini
CVE-2026-11645 pridružuje se nekoliko drugih Chromeovih zero-day propusta koji su aktivno iskorišteni ove godine:
- CVE-2026-2441 – Ranjivost koja dovodi do poništavanja iteratora u CSSFontFeatureValuesMap, zakrpana u veljači.
- CVE-2026-3909 – Greška pisanja izvan granica u Skia 2D grafičkoj biblioteci, iskorištena u ožujku.
- CVE-2026-3910 – Ranjivost neprimjerene implementacije koja utječe na V8 JavaScript i WebAssembly engine, također iskorištena u ožujku.
- CVE-2026-5281 – Ranjivost tipa "korištenje nakon oslobađanja" u Dawnu, Chromiumovoj višeplatformskoj WebGPU implementaciji, zakrpana u travnju.
Chromeova kontinuirana borba protiv zero-day exploita
Najnovije hitno ažuriranje naglašava stalnu prijetnju koju predstavljaju zero-day ranjivosti usmjerene na moderne web preglednike. Tijekom 2025. godine Google je riješio osam dodatnih Chromeovih zero-day ranjivosti koje su bile iskorištene u praksi. Nekoliko tih ranjivosti identificirala je Googleova Grupa za analizu prijetnji (TAG), specijalizirani tim poznat po praćenju sofisticiranih operacija kibernetičke špijunaže i špijunskih kampanja.
Kontinuirano otkrivanje aktivno iskorištenih nedostataka naglašava važnost pravovremenih ažuriranja preglednika i brzog otklanjanja ranjivosti u zaštiti korisnika od stalno rastućih kibernetičkih prijetnji.
