CVE-2026-11645 „Chrome“ pažeidžiamumas
„Google“ išleido skubius saugumo atnaujinimus, skirtus pašalinti dar vieną aktyviai išnaudojamą nulinės dienos pažeidžiamumą „Chrome“ naršyklėje. Šis trūkumas, pažymėtas kaip CVE-2026-11645, yra penktasis „Chrome“ nulinės dienos pataisymas, kurį bendrovė išleido nuo 2026 m. pradžios.
„Google“ teigimu, įrodymai patvirtina, kad šiai pažeidžiamumui skirtas išnaudojimas jau naudojamas realiose atakose. Apie problemą bendrovei buvo pranešta anonimiškai, o pataisa vėliau buvo įdiegta per „Stable Desktop“ kanalą.
Pataisytos versijos šiuo metu diegiamos visame pasaulyje „Windows“ (149.0.7827.102), „macOS“ (149.0.7827.103) ir „Linux“ (149.0.7827.102). Tačiau atnaujinimo procesas gali užtrukti kelias dienas ar net savaites, kol pasieks visus „Chrome“ naudotojus.
Tiems, kurie neinstaliuoja atnaujinimų rankiniu būdu, „Chrome“ sukurta taip, kad kitą kartą paleidus naršyklę automatiškai patikrintų, ar nėra saugos pataisų, ir jas pritaikytų.
Turinys
CVE-2026-11645 viduje: pavojingas V8 variklio trūkumas
Ši itin pavojinga spraga kyla dėl „Chrome“ V8 „JavaScript“ variklio skaitymo ir rašymo spragos. Užpuolikai gali išnaudoti šią spragą specialiai sukurtuose HTML puslapiuose, kurie gali įgalinti savavališką kodo vykdymą naršyklės „smėlio dėžės“ aplinkoje.
Sėkmingas išnaudojimas gali sugadinti atminties kaupą (heap), leisdamas užpuolikams pasiekti atmintį už numatytų ribų. Dėl tokio elgesio gali būti atskleista jautri informacija, užstrigti naršyklė arba vykti papildoma kenkėjiška veikla.
Be neteisėtos prieigos prie atminties, pažeidžiamumas taip pat gali būti panaudotas apeinant tokias apsaugos priemones kaip adresų erdvės išdėstymo atsitiktinumo nustatymas (ASLR), padidinant kodo vykdymo tikimybę, kai jis derinamas su kitais trūkumais.
Ribotas atskleidimas siekiant apsaugoti naudotojus
Nors „Google“ pripažino aktyviai išnaudojusi pažeidžiamumą, bendrovė dar neatskleidė techninių detalių apie atakas. Prieiga prie informacijos apie klaidą ir susijusių išteklių gali likti ribota, kol didelė dalis „Chrome“ naudotojų įdiegs saugos naujinimą.
Apribojimai taip pat gali galioti, jei paveiktas kodas yra trečiųjų šalių bibliotekose, kurias naudoja kiti projektai ir kurios dar neįdiegė savo pataisymų.
Augantis nulinės dienos grėsmių sąrašas 2026 m.
CVE-2026-11645 prisijungia prie kelių kitų „Chrome“ nulinės dienos atakų, kurios buvo aktyviai išnaudotos šiais metais:
- CVE-2026-2441 – iteratoriaus negaliojimo pažeidžiamumas CSSFontFeatureValuesMap, pataisytas vasario mėnesį.
„Chrome“ tęsia kovą su nulinės dienos spragomis
Naujausiame skubios pagalbos atnaujinime pabrėžiama nuolatinė grėsmė, kurią kelia nulinės dienos pažeidžiamumai, nukreipti prieš šiuolaikines interneto naršykles. 2025 m. „Google“ išsprendė dar aštuonias „Chrome“ nulinės dienos pažeidžiamumų problemas, kurios buvo išnaudotos. Kelias iš šių pažeidžiamumų nustatė „Google“ grėsmių analizės grupė (TAG) – specializuota komanda, žinoma dėl sudėtingų kibernetinio šnipinėjimo operacijų ir šnipinėjimo programų kampanijų stebėjimo.
Nuolat aptinkami aktyviai išnaudojami trūkumai pabrėžia savalaikių naršyklių atnaujinimų ir greito pažeidžiamumų šalinimo svarbą apsaugant vartotojus nuo besikeičiančių kibernetinių grėsmių.
