CVE-2026-11645 Chrome ievainojamība
Google ir izlaidis ārkārtas drošības atjauninājumus, lai novērstu vēl vienu aktīvi izmantotu nulles dienas ievainojamību pārlūkprogrammā Chrome. Šī nepilnība, kas reģistrēta kā CVE-2026-11645, ir piektais Chrome nulles dienas ielāps, ko uzņēmums ir izlaidis kopš 2026. gada sākuma.
Saskaņā ar Google sniegto informāciju pierādījumi apstiprina, ka šī ievainojamība jau tiek izmantota reālos uzbrukumos. Uzņēmumam par problēmu tika anonīmi ziņots, un pēc tam, izmantojot Stable Desktop kanālu, tika ieviests labojums.
Ielāpotās versijas pašlaik tiek ieviestas globāli operētājsistēmām Windows (149.0.7827.102), macOS (149.0.7827.103) un Linux (149.0.7827.102). Tomēr atjaunināšanas process var ilgt vairākas dienas vai pat nedēļas, pirms tas sasniegs visus Chrome lietotājus.
Tiem, kas manuāli neinstalē atjauninājumus, pārlūks Chrome ir izstrādāts tā, lai nākamās pārlūkprogrammas palaišanas laikā automātiski pārbaudītu un lietotu pieejamos drošības labojumus.
Satura rādītājs
CVE-2026-11645 saturs: Bīstama V8 dzinēja kļūme
Šī ļoti nopietnā ievainojamība rodas Chrome V8 JavaScript dzinēja lasīšanas un rakstīšanas ierobežojumu dēļ. Uzbrucēji var izmantot šo trūkumu, izmantojot speciāli izveidotas HTML lapas, potenciāli nodrošinot patvaļīgu koda izpildi pārlūkprogrammas "smilškastes" vidē.
Veiksmīga ļaunprātīgas izmantošanas rezultātā var tikt bojāta atmiņas kaudze, ļaujot uzbrucējiem piekļūt atmiņai ārpus paredzētajām robežām. Šāda rīcība var atklāt sensitīvu informāciju, izraisīt pārlūkprogrammas avārijas vai veicināt papildu ļaunprātīgas darbības.
Papildus neatļautai piekļuvei atmiņai, šo ievainojamību varētu izmantot arī, lai apietu drošības aizsardzības līdzekļus, piemēram, adrešu telpas izkārtojuma nejaušināšanu (ASLR), palielinot koda izpildes iespējamību, ja to apvieno ar citiem trūkumiem.
Ierobežota informācijas atklāšana lietotāju aizsardzībai
Lai gan Google ir atzinis aktīvu ievainojamības izmantošanu, uzņēmums vēl nav atklājis tehniskas detaļas par uzbrukumiem. Piekļuve informācijai par kļūdām un saistītajiem resursiem var palikt ierobežota, līdz ievērojama daļa Chrome lietotāju būs instalējuši drošības atjauninājumu.
Ierobežojumi var palikt spēkā arī tad, ja skartais kods atrodas trešo pušu bibliotēkās, kuras izmanto citi projekti un kurās vēl nav ieviesti savi labojumi.
Pieaugošais nulles dienas draudu saraksts 2026. gadā
CVE-2026-11645 pievienojas vairākām citām Chrome nulles dienas uzliesmojuma versijām, kas šogad ir aktīvi izmantotas:
- CVE-2026-2441 – CSSFontFeatureValuesMap iteratora nederīguma ievainojamība, ielāps ieviests februārī.
- CVE-2026-3909 — Martā izmantota Skia 2D grafikas bibliotēkā konstatēta rakstīšanas kļūda ārpus robežām.
- CVE-2026-3910 – Neatbilstošas ieviešanas ievainojamība, kas ietekmē V8 JavaScript un WebAssembly dzinēju, arī tika izmantota martā.
- CVE-2026-5281 – Dawn, Chromium starpplatformu WebGPU implementācijā, konstatēta lietošanas pēc atbrīvošanas ievainojamība, kas tika labota aprīlī.
Chrome notiekošā cīņa pret nulles dienas uzbrukumiem
Jaunākais ārkārtas atjauninājums izceļ pastāvīgos draudus, ko rada nulles dienas ievainojamības, kas vērstas pret mūsdienu tīmekļa pārlūkprogrammām. Visu 2025. gadu Google novērsa vēl astoņas Chrome nulles dienas ievainojamības, kas tika izmantotas ļaunprātīgi. Vairākas no šīm ievainojamībām identificēja Google Draudu analīzes grupa (TAG) — specializēta komanda, kas pazīstama ar sarežģītu kiberspiegošanas operāciju un spiegprogrammatūras kampaņu izsekošanu.
Pastāvīgi atklāti aktīvi izmantoti trūkumi uzsver savlaicīgu pārlūkprogrammu atjauninājumu un ātras ievainojamību novēršanas nozīmi lietotāju aizsardzībā pret mainīgajiem kiberdraudiem.
