Luka w zabezpieczeniach przeglądarki Chrome CVE-2026-11645
Google wydało awaryjne aktualizacje zabezpieczeń, aby usunąć kolejną aktywnie wykorzystywaną lukę typu zero-day w przeglądarce Chrome. Luka, oznaczona jako CVE-2026-11645, to piąta luka typu zero-day w Chrome załatana przez firmę od początku 2026 roku.
Według Google dowody potwierdzają, że exploit wykorzystujący tę lukę jest już wykorzystywany w rzeczywistych atakach. Problem został zgłoszony anonimowo firmie, a poprawka została następnie wdrożona za pośrednictwem kanału Stable Desktop.
Wersje z poprawkami są obecnie wdrażane globalnie dla systemów Windows (149.0.7827.102), macOS (149.0.7827.103) i Linux (149.0.7827.102). Jednak proces aktualizacji może potrwać kilka dni, a nawet tygodni, zanim obejmie ona wszystkich użytkowników Chrome.
Dla użytkowników, którzy nie instalują aktualizacji ręcznie, Chrome został zaprojektowany tak, aby automatycznie sprawdzał, czy są dostępne poprawki zabezpieczeń i instalował je podczas następnego uruchomienia przeglądarki.
Spis treści
Wewnątrz CVE-2026-11645: Niebezpieczna wada silnika V8
Ta luka o wysokim stopniu zagrożenia wynika z luki w zabezpieczeniach uniemożliwiającej odczyt i zapis poza zakresem w silniku JavaScript V8 przeglądarki Chrome. Atakujący mogą wykorzystać tę lukę za pośrednictwem specjalnie spreparowanych stron HTML, potencjalnie umożliwiając wykonanie dowolnego kodu w środowisku testowym przeglądarki.
Skuteczne wykorzystanie luki może skutkować uszkodzeniem pamięci sterty, umożliwiając atakującym dostęp do pamięci poza zamierzonymi granicami. Takie zachowanie może ujawnić poufne informacje, spowodować awarie przeglądarki lub ułatwić wykonywanie innych złośliwych działań.
Oprócz nieautoryzowanego dostępu do pamięci, luka może zostać również wykorzystana do ominięcia zabezpieczeń, takich jak randomizacja układu przestrzeni adresowej (ASLR), co w połączeniu z innymi słabościami zwiększa prawdopodobieństwo wykonania kodu.
Ograniczone ujawnianie informacji w celu ochrony użytkowników
Chociaż Google przyznało się do aktywnego wykorzystania luki, firma nie ujawniła jeszcze szczegółów technicznych dotyczących ataków. Dostęp do informacji o błędach i powiązanych zasobów może pozostać ograniczony do czasu zainstalowania aktualizacji zabezpieczeń przez znaczną część użytkowników Chrome.
Ograniczenia mogą również obowiązywać w przypadku, gdy problematyczny kod znajduje się w bibliotekach stron trzecich, z których korzystają inne projekty i w których nie zaimplementowano jeszcze własnych poprawek.
Rosnąca lista zagrożeń typu zero-day w 2026 r.
CVE-2026-11645 dołącza do kilku innych luk typu zero-day w przeglądarce Chrome, które były aktywnie wykorzystywane w tym roku:
- CVE-2026-2441 – Luka w zabezpieczeniach umożliwiająca unieważnienie iteratora w CSSFontFeatureValuesMap, naprawiona w lutym.
- CVE-2026-3909 – luka umożliwiająca zapis poza zakresem w bibliotece graficznej Skia 2D, wykorzystana w marcu.
- CVE-2026-3910 – niewłaściwa luka w implementacji, która wpływa na silnik V8 JavaScript i WebAssembly, również wykorzystana w marcu.
- CVE-2026-5281 – luka typu „use-after-free” w Dawn, wieloplatformowej implementacji WebGPU w Chromium, załatana w kwietniu.
Trwająca walka Chrome’a z lukami w zabezpieczeniach typu zero-day
Najnowsza aktualizacja alarmowa podkreśla stałe zagrożenie, jakie stwarzają luki typu zero-day atakujące nowoczesne przeglądarki internetowe. W 2025 roku Google wyeliminowało osiem kolejnych luk typu zero-day w Chrome, które były wykorzystywane w praktyce. Kilka z tych luk zostało zidentyfikowanych przez Threat Analysis Group (TAG) Google, wyspecjalizowany zespół znany ze śledzenia zaawansowanych operacji cybernetycznego szpiegostwa i kampanii szpiegowskich.
Ciągłe odkrywanie aktywnie wykorzystywanych luk podkreśla znaczenie terminowych aktualizacji przeglądarek i szybkiego usuwania luk w zabezpieczeniach w celu ochrony użytkowników przed rozwijającymi się zagrożeniami cybernetycznymi.
