CVE-2026-11645 क्रोम जोखिम

गुगलले क्रोम ब्राउजरमा सक्रिय रूपमा शोषित शून्य-दिनको जोखिमलाई सम्बोधन गर्न आपतकालीन सुरक्षा अपडेटहरू जारी गरेको छ। CVE-2026-11645 को रूपमा ट्र्याक गरिएको यो त्रुटि, २०२६ को सुरुवातदेखि कम्पनीद्वारा प्याच गरिएको पाँचौं क्रोम शून्य-दिन हो।

गुगलका अनुसार, प्रमाणहरूले पुष्टि गर्दछ कि यस जोखिमलाई लक्षित गर्ने शोषण पहिले नै वास्तविक-विश्व आक्रमणहरूमा प्रयोग भइरहेको छ। समस्या कम्पनीलाई गुमनाम रूपमा रिपोर्ट गरिएको थियो, र पछि स्थिर डेस्कटप च्यानल मार्फत समाधान तैनाथ गरिएको थियो।

प्याच गरिएका संस्करणहरू हाल विश्वव्यापी रूपमा Windows (१४९.०.७८२७.१०२), macOS (१४९.०.७८२७.१०३), र Linux (१४९.०.७८२७.१०२) को लागि रोल आउट भइरहेका छन्। यद्यपि, अद्यावधिक प्रक्रिया सबै क्रोम प्रयोगकर्ताहरूसम्म पुग्न धेरै दिन वा हप्ता पनि लाग्न सक्छ।

म्यानुअल रूपमा अपडेटहरू स्थापना नगर्नेहरूका लागि, क्रोम अर्को ब्राउजर लन्चको समयमा उपलब्ध सुरक्षा समाधानहरू स्वचालित रूपमा जाँच गर्न र लागू गर्न डिजाइन गरिएको हो।

CVE-2026-11645 भित्र: V8 इन्जिनमा खतरनाक त्रुटि

उच्च-गम्भीरता जोखिम क्रोमको V8 जाभास्क्रिप्ट इन्जिन भित्रको सीमा बाहिरको पढ्ने र लेख्ने कमजोरीबाट उत्पन्न हुन्छ। आक्रमणकारीहरूले विशेष रूपमा तयार पारिएको HTML पृष्ठहरू मार्फत त्रुटिको फाइदा उठाउन सक्छन्, सम्भावित रूपमा ब्राउजरको स्यान्डबक्स वातावरण भित्र मनमानी कोड कार्यान्वयन सक्षम पार्दै।

सफल शोषणले हिप भ्रष्टाचार निम्त्याउन सक्छ, जसले आक्रमणकारीहरूलाई इच्छित सीमा बाहिर मेमोरी पहुँच गर्न अनुमति दिन्छ। यो व्यवहारले संवेदनशील जानकारी उजागर गर्न सक्छ, ब्राउजर क्र्यास हुन सक्छ, वा थप दुर्भावनापूर्ण गतिविधिलाई सहज बनाउन सक्छ।

अनधिकृत मेमोरी पहुँच बाहेक, ठेगाना स्पेस लेआउट र्यान्डमाइजेसन (ASLR) जस्ता सुरक्षा सुरक्षाहरूलाई बाइपास गर्न पनि जोखिमको उपयोग गर्न सकिन्छ, जसले गर्दा अन्य कमजोरीहरूसँग मिल्दा कोड कार्यान्वयन प्राप्त गर्ने सम्भावना बढ्छ।

प्रयोगकर्ताहरूलाई सुरक्षित राख्न सीमित खुलासा

गुगलले जोखिमको सक्रिय शोषण स्वीकार गरेको भए पनि, कम्पनीले आक्रमणहरूको बारेमा प्राविधिक विवरणहरू अझै खुलासा गरेको छैन। क्रोम प्रयोगकर्ताहरूको एक महत्त्वपूर्ण भागले सुरक्षा अपडेट स्थापना नगरेसम्म बग जानकारी र सम्बन्धित स्रोतहरूमा पहुँच प्रतिबन्धित रहन सक्छ।

यदि प्रभावित कोड अन्य परियोजनाहरूले प्रयोग गर्ने तेस्रो-पक्ष पुस्तकालयहरू भित्र अवस्थित छ र अझैसम्म आफ्नै समाधानहरू लागू गरेको छैन भने पनि प्रतिबन्धहरू जारी रहन सक्छन्।

२०२६ मा शून्य-दिन खतराहरूको बढ्दो सूची

CVE-2026-11645 यस वर्ष सक्रिय रूपमा शोषण गरिएका धेरै अन्य क्रोम शून्य-दिनहरूमा सामेल हुन्छ:

• CVE-2026-2441 – CSSFontFeatureValuesMap मा एक पुनरावृत्ति अमान्यता जोखिम, फेब्रुअरीमा प्याच गरिएको।

शून्य-दिनको शोषण विरुद्ध क्रोमको जारी लडाईं

पछिल्लो आपतकालीन अपडेटले आधुनिक वेब ब्राउजरहरूलाई लक्षित गर्दै शून्य-दिनका कमजोरीहरूले उत्पन्न गर्ने निरन्तर खतरालाई प्रकाश पार्छ। २०२५ भरि, गुगलले आठ थप क्रोम शून्य-दिनहरूलाई सम्बोधन गर्‍यो जुन जंगलमा शोषण गरिएको थियो। ती कमजोरीहरूमध्ये धेरैलाई गुगलको खतरा विश्लेषण समूह (TAG) द्वारा पहिचान गरिएको थियो, जुन परिष्कृत साइबर-जासूसी सञ्चालन र स्पाइवेयर अभियानहरू ट्र्याक गर्नका लागि परिचित एक विशेष टोली हो।

सक्रिय रूपमा शोषित त्रुटिहरूको निरन्तर खोजले प्रयोगकर्ताहरूलाई विकसित साइबर खतराहरूबाट जोगाउन समयमै ब्राउजर अपडेटहरू र द्रुत जोखिम समाधानको महत्त्वलाई जोड दिन्छ।