Kerentanan Chrome CVE-2026-11645
Google telah mengeluarkan kemas kini keselamatan kecemasan untuk menangani satu lagi kelemahan zero-day yang dieksploitasi secara aktif dalam pelayar Chrome. Kecacatan itu, yang dikesan sebagai CVE-2026-11645, menandakan penampalan zero-day Chrome kelima oleh syarikat itu sejak awal tahun 2026.
Menurut Google, bukti mengesahkan bahawa eksploit yang menyasarkan kelemahan ini telah pun digunakan dalam serangan dunia sebenar. Isu ini telah dilaporkan secara anonim kepada syarikat itu, dan pembetulan kemudiannya telah digunakan melalui saluran Stable Desktop.
Versi yang ditambal sedang dilancarkan di seluruh dunia untuk Windows (149.0.7827.102), macOS (149.0.7827.103) dan Linux (149.0.7827.102). Walau bagaimanapun, proses kemas kini mungkin mengambil masa beberapa hari atau minggu sebelum sampai ke semua pengguna Chrome.
Bagi mereka yang tidak memasang kemas kini secara manual, Chrome direka bentuk untuk menyemak dan menggunakan pembetulan keselamatan yang tersedia secara automatik semasa pelancaran pelayar seterusnya.
Isi kandungan
Di dalam CVE-2026-11645: Kecacatan Enjin V8 Berbahaya
Kerentanan tahap tinggi ini berasal daripada kelemahan baca dan tulis di luar batas dalam enjin JavaScript V8 Chrome. Penyerang boleh mengeksploitasi kecacatan ini melalui halaman HTML yang direka khas, yang berpotensi membolehkan pelaksanaan kod sewenang-wenangnya dalam persekitaran kotak pasir pelayar.
Eksploitasi yang berjaya boleh mengakibatkan kerosakan timbunan, membolehkan penyerang mengakses memori di luar sempadan yang dimaksudkan. Tingkah laku ini mungkin mendedahkan maklumat sensitif, menyebabkan ranap pelayar atau memudahkan aktiviti berniat jahat tambahan.
Selain akses memori yang tidak dibenarkan, kerentanan ini juga boleh dimanfaatkan untuk memintas perlindungan keselamatan seperti Rawak Tata Letak Ruang Alamat (ASLR), meningkatkan kemungkinan mencapai pelaksanaan kod apabila digabungkan dengan kelemahan lain.
Pendedahan Terhad untuk Melindungi Pengguna
Walaupun Google telah mengakui eksploitasi aktif terhadap kerentanan tersebut, syarikat itu masih belum mendedahkan butiran teknikal mengenai serangan tersebut. Akses kepada maklumat pepijat dan sumber berkaitan mungkin kekal terhad sehingga sebahagian besar pengguna Chrome telah memasang kemas kini keselamatan.
Sekatan juga mungkin berterusan jika kod yang terjejas wujud dalam pustaka pihak ketiga yang digunakan oleh projek lain dan belum melaksanakan pembetulannya sendiri.
Senarai Ancaman Sifar Hari yang Semakin Berkembang pada Tahun 2026
CVE-2026-11645 menyertai beberapa hari sifar Chrome lain yang telah dieksploitasi secara aktif tahun ini:
- CVE-2026-2441 – Kerentanan pembatalan iterator dalam CSSFontFeatureValuesMap, ditambal pada bulan Februari.
- CVE-2026-3909 – Kecacatan penulisan di luar batas dalam pustaka grafik 2D Skia, yang dieksploitasi pada bulan Mac.
- CVE-2026-3910 – Kerentanan pelaksanaan yang tidak sesuai yang menjejaskan enjin JavaScript dan WebAssembly V8, turut dieksploitasi pada bulan Mac.
- CVE-2026-5281 – Kerentanan bebas-guna-selepas-dalam Dawn, pelaksanaan WebGPU merentas platform Chromium, telah ditambal pada bulan April.
Pertempuran Berterusan Chrome Menentang Eksploitasi Zero-Day
Kemas kini kecemasan terkini mengetengahkan ancaman berterusan yang ditimbulkan oleh kerentanan zero-day yang menyasarkan pelayar web moden. Sepanjang tahun 2025, Google menangani lapan lagi Chrome zero-day yang telah dieksploitasi secara tidak sengaja. Beberapa daripada kerentanan tersebut telah dikenal pasti oleh Kumpulan Analisis Ancaman (TAG) Google, sebuah pasukan khusus yang dikenali kerana menjejaki operasi pengintipan siber yang canggih dan kempen perisian intip.
Penemuan berterusan kelemahan yang dieksploitasi secara aktif menggariskan kepentingan kemas kini pelayar yang tepat pada masanya dan pemulihan kerentanan yang pantas dalam melindungi pengguna daripada ancaman siber yang berkembang.
