Vulnerabilitate Chrome CVE-2026-11645
Google a lansat actualizări de securitate de urgență pentru a remedia o altă vulnerabilitate zero-day exploatată activ în browserul Chrome. Defectul, înregistrat ca CVE-2026-11645, marchează al cincilea patch zero-day pentru Chrome aplicat de companie de la începutul anului 2026.
Conform Google, dovezile confirmă faptul că o vulnerabilitate care vizează această exploatare este deja utilizată în atacuri din lumea reală. Problema a fost raportată anonim companiei, iar o soluție a fost implementată ulterior prin canalul Stable Desktop.
Versiunile actualizate sunt lansate la nivel global pentru Windows (149.0.7827.102), macOS (149.0.7827.103) și Linux (149.0.7827.102). Cu toate acestea, procesul de actualizare poate dura câteva zile sau chiar săptămâni înainte de a ajunge la toți utilizatorii Chrome.
Pentru cei care nu instalează manual actualizări, Chrome este conceput să verifice și să aplice automat remedierile de securitate disponibile la următoarea lansare a browserului.
Cuprins
În interiorul CVE-2026-11645: Un defect periculos al motorului V8
Vulnerabilitatea de severitate ridicată provine dintr-o vulnerabilitate de citire și scriere în afara limitelor din motorul JavaScript V8 al Chrome. Atacatorii pot exploata vulnerabilitatea prin intermediul paginilor HTML special concepute, permițând potențial executarea arbitrară de cod în mediul sandbox al browserului.
Exploatarea cu succes poate duce la coruperea memoriei heap, permițând atacatorilor să acceseze memoria în afara limitelor prevăzute. Acest comportament poate expune informații sensibile, poate provoca blocarea browserului sau poate facilita activități rău intenționate suplimentare.
Dincolo de accesul neautorizat la memorie, vulnerabilitatea ar putea fi folosită și pentru a ocoli protecțiile de securitate, cum ar fi randomizarea structurii spațiului de adrese (ASLR), crescând probabilitatea de a executa cod atunci când este combinată cu alte puncte slabe.
Dezvăluire limitată pentru protejarea utilizatorilor
Deși Google a recunoscut exploatarea activă a vulnerabilității, compania nu a dezvăluit încă detalii tehnice privind atacurile. Accesul la informațiile despre erori și la resursele aferente ar putea rămâne restricționat până când o parte semnificativă a utilizatorilor Chrome vor instala actualizarea de securitate.
Restricțiile pot continua și dacă codul afectat există în biblioteci terțe utilizate de alte proiecte și care nu au implementat încă propriile remedieri.
O listă tot mai mare de amenințări zero-day în 2026
CVE-2026-11645 se alătură câtorva alte erori zero-day pentru Chrome care au fost exploatate activ în acest an:
- CVE-2026-2441 – O vulnerabilitate de invalidare a iteratorului în CSSFontFeatureValuesMap, actualizată în februarie.
- CVE-2026-3909 – O eroare de scriere în afara limitelor în biblioteca grafică 2D Skia, exploatată în martie.
- CVE-2026-3910 – O vulnerabilitate de implementare necorespunzătoare care afectează motorul V8 JavaScript și WebAssembly, exploatată și în martie.
- CVE-2026-5281 – O vulnerabilitate de tip „utilizare după eliberare” în Dawn, implementarea WebGPU multiplatformă a Chromium, a fost actualizată în aprilie.
Lupta continuă a Chrome împotriva exploiturilor zero-day
Cea mai recentă actualizare de urgență evidențiază amenințarea persistentă reprezentată de vulnerabilitățile zero-day care vizează browserele web moderne. Pe parcursul anului 2025, Google a remediat alte opt vulnerabilități zero-day pentru Chrome care au fost exploatate în mod spontan. Mai multe dintre aceste vulnerabilități au fost identificate de Grupul de Analiză a Amenințărilor (TAG) al Google, o echipă specializată cunoscută pentru urmărirea operațiunilor sofisticate de spionaj cibernetic și a campaniilor de spyware.
Descoperirea continuă a defectelor exploatate activ subliniază importanța actualizărilor la timp ale browserului și a remedierii rapide a vulnerabilităților în protejarea utilizatorilor împotriva amenințărilor cibernetice în continuă evoluție.
