CVE-2026-11645 ਕਰੋਮ ਕਮਜ਼ੋਰੀ

ਗੂਗਲ ਨੇ ਕ੍ਰੋਮ ਬ੍ਰਾਊਜ਼ਰ ਵਿੱਚ ਇੱਕ ਹੋਰ ਸਰਗਰਮੀ ਨਾਲ ਵਰਤੀ ਗਈ ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਐਮਰਜੈਂਸੀ ਸੁਰੱਖਿਆ ਅਪਡੇਟ ਜਾਰੀ ਕੀਤੇ ਹਨ। CVE-2026-11645 ਵਜੋਂ ਟਰੈਕ ਕੀਤੀ ਗਈ ਇਹ ਨੁਕਸ, 2026 ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਬਾਅਦ ਕੰਪਨੀ ਦੁਆਰਾ ਪੈਚ ਕੀਤੀ ਗਈ ਪੰਜਵੀਂ ਕ੍ਰੋਮ ਜ਼ੀਰੋ-ਡੇ ਹੈ।

ਗੂਗਲ ਦੇ ਅਨੁਸਾਰ, ਸਬੂਤ ਇਸ ਗੱਲ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦੇ ਹਨ ਕਿ ਇਸ ਕਮਜ਼ੋਰੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲਾ ਇੱਕ ਸ਼ੋਸ਼ਣ ਪਹਿਲਾਂ ਹੀ ਅਸਲ-ਸੰਸਾਰ ਦੇ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤਿਆ ਜਾ ਰਿਹਾ ਹੈ। ਇਸ ਮੁੱਦੇ ਦੀ ਰਿਪੋਰਟ ਕੰਪਨੀ ਨੂੰ ਗੁਮਨਾਮ ਤੌਰ 'ਤੇ ਕੀਤੀ ਗਈ ਸੀ, ਅਤੇ ਬਾਅਦ ਵਿੱਚ ਸਟੇਬਲ ਡੈਸਕਟੌਪ ਚੈਨਲ ਰਾਹੀਂ ਇੱਕ ਹੱਲ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ।

ਪੈਚ ਕੀਤੇ ਸੰਸਕਰਣ ਵਰਤਮਾਨ ਵਿੱਚ Windows (149.0.7827.102), macOS (149.0.7827.103), ਅਤੇ Linux (149.0.7827.102) ਲਈ ਵਿਸ਼ਵ ਪੱਧਰ 'ਤੇ ਰੋਲ ਆਊਟ ਕੀਤੇ ਜਾ ਰਹੇ ਹਨ। ਹਾਲਾਂਕਿ, ਅੱਪਡੇਟ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਸਾਰੇ Chrome ਉਪਭੋਗਤਾਵਾਂ ਤੱਕ ਪਹੁੰਚਣ ਵਿੱਚ ਕਈ ਦਿਨ ਜਾਂ ਹਫ਼ਤੇ ਵੀ ਲੱਗ ਸਕਦੇ ਹਨ।

ਜਿਹੜੇ ਲੋਕ ਹੱਥੀਂ ਅੱਪਡੇਟ ਇੰਸਟਾਲ ਨਹੀਂ ਕਰਦੇ, ਉਨ੍ਹਾਂ ਲਈ Chrome ਨੂੰ ਅਗਲੇ ਬ੍ਰਾਊਜ਼ਰ ਲਾਂਚ ਦੌਰਾਨ ਉਪਲਬਧ ਸੁਰੱਖਿਆ ਫਿਕਸਾਂ ਦੀ ਆਪਣੇ ਆਪ ਜਾਂਚ ਕਰਨ ਅਤੇ ਲਾਗੂ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

CVE-2026-11645 ਦੇ ਅੰਦਰ: ਇੱਕ ਖ਼ਤਰਨਾਕ V8 ਇੰਜਣ ਨੁਕਸ

ਇਹ ਉੱਚ-ਗੰਭੀਰਤਾ ਵਾਲੀ ਕਮਜ਼ੋਰੀ Chrome ਦੇ V8 JavaScript ਇੰਜਣ ਦੇ ਅੰਦਰ ਇੱਕ ਸੀਮਾ ਤੋਂ ਬਾਹਰ ਪੜ੍ਹਨ ਅਤੇ ਲਿਖਣ ਦੀ ਕਮਜ਼ੋਰੀ ਤੋਂ ਉਤਪੰਨ ਹੁੰਦੀ ਹੈ। ਹਮਲਾਵਰ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਤਿਆਰ ਕੀਤੇ HTML ਪੰਨਿਆਂ ਰਾਹੀਂ ਇਸ ਨੁਕਸ ਦਾ ਫਾਇਦਾ ਉਠਾ ਸਕਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਬ੍ਰਾਊਜ਼ਰ ਦੇ ਸੈਂਡਬੌਕਸ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਮਨਮਾਨੇ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ ਜਾ ਸਕਦਾ ਹੈ।

ਸਫਲ ਸ਼ੋਸ਼ਣ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਹੀਪ ਭ੍ਰਿਸ਼ਟਾਚਾਰ ਹੋ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਇੱਛਤ ਸੀਮਾਵਾਂ ਤੋਂ ਬਾਹਰ ਮੈਮੋਰੀ ਤੱਕ ਪਹੁੰਚ ਮਿਲ ਸਕਦੀ ਹੈ। ਇਹ ਵਿਵਹਾਰ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਦਾ ਪਰਦਾਫਾਸ਼ ਕਰ ਸਕਦਾ ਹੈ, ਬ੍ਰਾਊਜ਼ਰ ਕਰੈਸ਼ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦਾ ਹੈ, ਜਾਂ ਵਾਧੂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਦੀ ਸਹੂਲਤ ਦੇ ਸਕਦਾ ਹੈ।

ਅਣਅਧਿਕਾਰਤ ਮੈਮੋਰੀ ਪਹੁੰਚ ਤੋਂ ਇਲਾਵਾ, ਕਮਜ਼ੋਰੀ ਨੂੰ ਐਡਰੈੱਸ ਸਪੇਸ ਲੇਆਉਟ ਰੈਂਡਮਾਈਜ਼ੇਸ਼ਨ (ASLR) ਵਰਗੀਆਂ ਸੁਰੱਖਿਆ ਸੁਰੱਖਿਆਵਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਵੀ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹੋਰ ਕਮਜ਼ੋਰੀਆਂ ਨਾਲ ਜੋੜ ਕੇ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਵੱਧ ਜਾਂਦੀ ਹੈ।

ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਸੀਮਤ ਖੁਲਾਸਾ

ਹਾਲਾਂਕਿ ਗੂਗਲ ਨੇ ਕਮਜ਼ੋਰੀ ਦੇ ਸਰਗਰਮ ਸ਼ੋਸ਼ਣ ਨੂੰ ਸਵੀਕਾਰ ਕੀਤਾ ਹੈ, ਪਰ ਕੰਪਨੀ ਨੇ ਅਜੇ ਤੱਕ ਹਮਲਿਆਂ ਸੰਬੰਧੀ ਤਕਨੀਕੀ ਵੇਰਵਿਆਂ ਦਾ ਖੁਲਾਸਾ ਨਹੀਂ ਕੀਤਾ ਹੈ। ਬੱਗ ਜਾਣਕਾਰੀ ਅਤੇ ਸੰਬੰਧਿਤ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚ ਉਦੋਂ ਤੱਕ ਸੀਮਤ ਰਹਿ ਸਕਦੀ ਹੈ ਜਦੋਂ ਤੱਕ Chrome ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਹਿੱਸੇ ਨੇ ਸੁਰੱਖਿਆ ਅਪਡੇਟ ਸਥਾਪਤ ਨਹੀਂ ਕਰ ਲਿਆ ਹੈ।

ਜੇਕਰ ਪ੍ਰਭਾਵਿਤ ਕੋਡ ਤੀਜੀ-ਧਿਰ ਲਾਇਬ੍ਰੇਰੀਆਂ ਦੇ ਅੰਦਰ ਮੌਜੂਦ ਹੈ ਜੋ ਦੂਜੇ ਪ੍ਰੋਜੈਕਟਾਂ ਦੁਆਰਾ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ ਅਤੇ ਅਜੇ ਤੱਕ ਆਪਣੇ ਖੁਦ ਦੇ ਫਿਕਸ ਲਾਗੂ ਨਹੀਂ ਕੀਤੇ ਹਨ ਤਾਂ ਪਾਬੰਦੀਆਂ ਵੀ ਜਾਰੀ ਰਹਿ ਸਕਦੀਆਂ ਹਨ।

2026 ਵਿੱਚ ਜ਼ੀਰੋ-ਡੇ ਖ਼ਤਰਿਆਂ ਦੀ ਵਧਦੀ ਸੂਚੀ

CVE-2026-11645 ਕਈ ਹੋਰ Chrome ਜ਼ੀਰੋ-ਡੇਅ ਵਿੱਚ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ ਜਿਨ੍ਹਾਂ ਦਾ ਇਸ ਸਾਲ ਸਰਗਰਮੀ ਨਾਲ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ ਹੈ:

• CVE-2026-2441 – CSSFontFeatureValuesMap ਵਿੱਚ ਇੱਕ ਇਟੇਰੇਟਰ ਅਵੈਧਤਾ ਕਮਜ਼ੋਰੀ, ਫਰਵਰੀ ਵਿੱਚ ਪੈਚ ਕੀਤੀ ਗਈ।

ਜ਼ੀਰੋ-ਡੇਅ ਕਾਰਨਾਮੇ ਵਿਰੁੱਧ ਕਰੋਮ ਦੀ ਚੱਲ ਰਹੀ ਲੜਾਈ

ਨਵੀਨਤਮ ਐਮਰਜੈਂਸੀ ਅਪਡੇਟ ਆਧੁਨਿਕ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀਆਂ ਜ਼ੀਰੋ-ਡੇ ਕਮਜ਼ੋਰੀਆਂ ਦੁਆਰਾ ਪੈਦਾ ਹੋਣ ਵਾਲੇ ਲਗਾਤਾਰ ਖ਼ਤਰੇ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ। 2025 ਦੌਰਾਨ, ਗੂਗਲ ਨੇ ਅੱਠ ਵਾਧੂ ਕ੍ਰੋਮ ਜ਼ੀਰੋ-ਡੇ ਨੂੰ ਸੰਬੋਧਿਤ ਕੀਤਾ ਜਿਨ੍ਹਾਂ ਦਾ ਜੰਗਲੀ ਵਿੱਚ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਗਿਆ ਸੀ। ਉਨ੍ਹਾਂ ਵਿੱਚੋਂ ਕਈ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਪਛਾਣ ਗੂਗਲ ਦੇ ਥਰੇਟ ਵਿਸ਼ਲੇਸ਼ਣ ਸਮੂਹ (TAG) ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਸੀ, ਜੋ ਕਿ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਟੀਮ ਹੈ ਜੋ ਸੂਝਵਾਨ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਕਾਰਜਾਂ ਅਤੇ ਸਪਾਈਵੇਅਰ ਮੁਹਿੰਮਾਂ ਨੂੰ ਟਰੈਕ ਕਰਨ ਲਈ ਜਾਣੀ ਜਾਂਦੀ ਹੈ।

ਸਰਗਰਮੀ ਨਾਲ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਖਾਮੀਆਂ ਦੀ ਲਗਾਤਾਰ ਖੋਜ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਾਈਬਰ ਖਤਰਿਆਂ ਤੋਂ ਬਚਾਉਣ ਲਈ ਸਮੇਂ ਸਿਰ ਬ੍ਰਾਊਜ਼ਰ ਅਪਡੇਟਸ ਅਤੇ ਤੇਜ਼ ਕਮਜ਼ੋਰੀ ਉਪਚਾਰ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।