CVE-2026-11645 Chrome-sårbarhet
Google har gitt ut nødoppdateringer for å håndtere et annet aktivt utnyttet nulldagssårbarhet i Chrome-nettleseren. Feilen, sporet som CVE-2026-11645, markerer den femte nulldagsoppdateringen for Chrome som selskapet har oppdatert siden begynnelsen av 2026.
Ifølge Google bekrefter bevisene at en utnyttelse som retter seg mot denne sårbarheten allerede brukes i angrep i den virkelige verden. Problemet ble rapportert anonymt til selskapet, og en løsning ble deretter distribuert gjennom Stable Desktop-kanalen.
Oppdaterte versjoner rulles for tiden ut globalt for Windows (149.0.7827.102), macOS (149.0.7827.103) og Linux (149.0.7827.102). Oppdateringsprosessen kan imidlertid ta flere dager eller til og med uker før den når alle Chrome-brukere.
For de som ikke installerer oppdateringer manuelt, er Chrome utformet for automatisk å se etter og implementere tilgjengelige sikkerhetsrettelser ved neste nettleseroppstart.
Innholdsfortegnelse
Inne i CVE-2026-11645: En farlig feil i V8-motoren
Den alvorlige sårbarheten stammer fra en svakhet i lesing og skriving utenfor grensene i Chromes V8 JavaScript-motor. Angripere kan utnytte feilen gjennom spesiallagde HTML-sider, noe som potensielt muliggjør kjøring av vilkårlig kode i nettleserens sandkassemiljø.
Vellykket utnyttelse kan føre til heap-korrupsjon, slik at angripere får tilgang til minne utenfor tiltenkte grenser. Denne oppførselen kan eksponere sensitiv informasjon, forårsake nettleserkrasj eller legge til rette for ytterligere ondsinnet aktivitet.
Utover uautorisert minnetilgang, kan sårbarheten også utnyttes til å omgå sikkerhetsbeskyttelse som Address Space Layout Randomization (ASLR), noe som øker sannsynligheten for å oppnå kodekjøring når den kombineres med andre svakheter.
Begrenset offentliggjøring for å beskytte brukere
Selv om Google har erkjent aktiv utnyttelse av sårbarheten, har selskapet ennå ikke offentliggjort tekniske detaljer om angrepene. Tilgang til feilinformasjon og relaterte ressurser kan forbli begrenset inntil en betydelig andel av Chrome-brukere har installert sikkerhetsoppdateringen.
Restriksjoner kan også fortsette hvis den berørte koden finnes i tredjepartsbiblioteker som brukes av andre prosjekter og ennå ikke har implementert sine egne rettelser.
En voksende liste over nulldagstrusler i 2026
CVE-2026-11645 slutter seg til flere andre Chrome-nulldagsangrep som har blitt aktivt utnyttet i år:
- CVE-2026-2441 – En iteratorugyldiggjøringssårbarhet i CSSFontFeatureValuesMap, oppdatert i februar.
- CVE-2026-3909 – En skrivefeil utenfor grensene i Skia 2D-grafikkbiblioteket, utnyttet i mars.
- CVE-2026-3910 – En sårbarhet knyttet til upassende implementering som påvirker V8 JavaScript- og WebAssembly-motoren, også utnyttet i mars.
- CVE-2026-5281 – En sårbarhet for bruk etter frigjøring i Dawn, Chromiums plattformuavhengige WebGPU-implementering, oppdatert i april.
Chromes pågående kamp mot nulldagsangrep
Den siste nødoppdateringen fremhever den vedvarende trusselen som nulldagssårbarheter retter seg mot moderne nettlesere. Gjennom 2025 tok Google hånd om åtte ytterligere nulldagssårbarheter i Chrome som ble utnyttet i praksis. Flere av disse sårbarhetene ble identifisert av Googles Threat Analysis Group (TAG), et spesialisert team kjent for å spore sofistikerte cyberspionasjeoperasjoner og spionprogramkampanjer.
Den fortsatte oppdagelsen av aktivt utnyttede feil understreker viktigheten av rettidige nettleseroppdateringer og rask utbedring av sårbarheter for å beskytte brukere mot utviklende cybertrusler.
