CVE-2026-11645 Chrome sebezhetőség
A Google sürgősségi biztonsági frissítéseket adott ki a Chrome böngésző egy újabb, aktívan kihasznált nulladik napi sebezhetőségének javítására. A CVE-2026-11645 azonosítójú hiba az ötödik Chrome nulladik napi javítás, amelyet a vállalat 2026 eleje óta kiadott.
A Google szerint a bizonyítékok megerősítik, hogy egy ezt a sebezhetőséget célzó kihasználási kísérletet már használnak valós támadásokban. A problémát névtelenül jelentették a vállalatnak, és a javítást ezt követően telepítették a Stable Desktop csatornán keresztül.
A javított verziók jelenleg globálisan kerülnek kiadásra Windows (149.0.7827.102), macOS (149.0.7827.103) és Linux (149.0.7827.102) rendszerekre. A frissítési folyamat azonban több napig vagy akár hétig is eltarthat, mire az összes Chrome-felhasználóhoz eljut.
Azok számára, akik nem telepítenek manuálisan frissítéseket, a Chrome úgy van kialakítva, hogy a böngésző következő indításakor automatikusan ellenőrizze és alkalmazza az elérhető biztonsági javításokat.
Tartalomjegyzék
A CVE-2026-11645 tartalomjegyzékében: Veszélyes V8-as motorhiba
A súlyos sebezhetőség a Chrome V8 JavaScript motorjának egy határértéken kívüli olvasási és írási gyengeségéből ered. A támadók speciálisan létrehozott HTML oldalakon keresztül tudják kihasználni a hibát, ami potenciálisan tetszőleges kódfuttatást tesz lehetővé a böngésző sandbox környezetében.
A sikeres kihasználás memóriahibákhoz vezethet, lehetővé téve a támadók számára, hogy a kívánt határokon kívül eső memóriához férjenek hozzá. Ez a viselkedés bizalmas információkhoz juthat hozzá, böngésző összeomlásokat okozhat, vagy további rosszindulatú tevékenységeket tehet lehetővé.
A jogosulatlan memória-hozzáférésen túl a sebezhetőség kihasználható olyan biztonsági védelmi mechanizmusok megkerülésére is, mint az Address Space Layout Randomization (ASLR), ami más gyengeségekkel kombinálva növeli a kódfuttatás valószínűségét.
Korlátozott közzététel a felhasználók védelme érdekében
Bár a Google elismerte a sebezhetőség aktív kihasználását, a vállalat egyelőre nem hozta nyilvánosságra a támadásokkal kapcsolatos technikai részleteket. A hibainformációkhoz és a kapcsolódó forrásokhoz való hozzáférés korlátozott maradhat, amíg a Chrome-felhasználók jelentős része nem telepíti a biztonsági frissítést.
A korlátozások akkor is érvényben maradhatnak, ha az érintett kód harmadik féltől származó, más projektek által használt könyvtárakban található, és még nem implementálták a saját javításaikat.
A nulladik napi fenyegetések egyre bővülő listája 2026-ban
A CVE-2026-11645 a Chrome számos más, idén aktívan kihasznált nulladik napi támadása közül néhányhoz csatlakozik:
- CVE-2026-2441 – Iterátor érvénytelenítési sebezhetőség a CSSFontFeatureValuesMap-ben, februárban javítva.
- CVE-2026-3909 – Egy határokon túli írási hibát a Skia 2D grafikus könyvtárban, amelyet márciusban használtak ki.
- CVE-2026-3910 – Egy nem megfelelő implementációból adódó sebezhetőség, amely a V8 JavaScript és WebAssembly motort érinti, és amelyet márciusban szintén kihasználtak.
- CVE-2026-5281 – Egy „felszabadítás utáni használat” típusú sebezhetőség a Dawnban, a Chromium többplatformos WebGPU implementációjában, melyet áprilisban javítottak ki.
A Chrome folyamatos küzdelme a nulladik napi sérülékenységek ellen
A legújabb vészhelyzeti frissítés rávilágít a modern webböngészőket célzó nulladik napi sebezhetőségek jelentette folyamatos fenyegetésre. 2025 folyamán a Google további nyolc, a Chrome-ban kihasznált nulladik napi sebezhetőséget javított ki. Ezen sebezhetőségek közül többet a Google Fenyegetéselemző Csoportja (TAG) azonosított, amely egy speciális csapat, amely a kifinomult kiberkémkedési műveletek és kémprogram-kampányok nyomon követéséről ismert.
Az aktívan kihasznált hibák folyamatos felfedezése rávilágít az időben történő böngészőfrissítések és a sebezhetőségek gyors elhárításának fontosságára a felhasználók folyamatos kiberfenyegetésekkel szembeni védelmében.
