Уязвимость Chrome CVE-2026-11645
Компания Google выпустила экстренные обновления безопасности для устранения еще одной активно используемой уязвимости нулевого дня в браузере Chrome. Эта уязвимость, зарегистрированная под номером CVE-2026-11645, стала пятой уязвимостью нулевого дня в Chrome, исправленной компанией с начала 2026 года.
По данным Google, имеются доказательства того, что эксплойт, нацеленный на эту уязвимость, уже используется в реальных атаках. О проблеме было сообщено в компанию анонимно, после чего исправление было выпущено через стабильный канал для настольных компьютеров.
В настоящее время улучшенные версии распространяются по всему миру для Windows (149.0.7827.102), macOS (149.0.7827.103) и Linux (149.0.7827.102). Однако процесс обновления может занять несколько дней или даже недель, прежде чем он достигнет всех пользователей Chrome.
Для тех, кто не устанавливает обновления вручную, Chrome автоматически проверяет наличие доступных исправлений безопасности и применяет их при следующем запуске браузера.
Оглавление
Внутри уязвимости CVE-2026-11645: Опасный дефект двигателя V8
Серьезная уязвимость связана с недопустимым доступом к чтению и записи за пределы допустимого диапазона в JavaScript-движке V8 браузера Chrome. Злоумышленники могут использовать эту уязвимость с помощью специально созданных HTML-страниц, что потенциально позволяет выполнять произвольный код внутри изолированной среды браузера.
Успешная эксплуатация уязвимости может привести к повреждению памяти в куче, позволяя злоумышленникам получать доступ к памяти за пределами заданных границ. Такое поведение может привести к утечке конфиденциальной информации, сбоям в работе браузера или способствовать дальнейшей вредоносной деятельности.
Помимо несанкционированного доступа к памяти, уязвимость также может быть использована для обхода средств защиты, таких как рандомизация расположения адресного пространства (ASLR), что в сочетании с другими недостатками повышает вероятность выполнения кода.
Ограниченное раскрытие информации для защиты пользователей.
Хотя Google признала активное использование уязвимости, компания пока не раскрыла технические подробности атак. Доступ к информации об ошибке и связанным с ней ресурсам может оставаться ограниченным до тех пор, пока значительная часть пользователей Chrome не установит обновление безопасности.
Ограничения могут сохраняться и в том случае, если затронутый код присутствует в сторонних библиотеках, используемых другими проектами, которые еще не внедрили собственные исправления.
Растущий список угроз нулевого дня в 2026 году
Уязвимость CVE-2026-11645 пополнила ряды других уязвимостей нулевого дня в Chrome, которые активно использовались в этом году:
- CVE-2026-2441 – Уязвимость, приводящая к аннулированию итератора в CSSFontFeatureValuesMap, исправлена в феврале.
- CVE-2026-3909 – Уязвимость записи за пределы допустимого диапазона в библиотеке 2D-графики Skia, использованная злоумышленниками в марте.
- CVE-2026-3910 – Уязвимость, связанная с некорректной реализацией, затрагивающая движок JavaScript и WebAssembly V8, которая также была использована в марте.
- CVE-2026-5281 – Уязвимость типа «использование памяти после освобождения» в Dawn, кроссплатформенной реализации WebGPU от Chromium, исправлена в апреле.
Chrome продолжает борьбу с уязвимостями нулевого дня.
Последнее экстренное обновление подчеркивает сохраняющуюся угрозу, исходящую от уязвимостей нулевого дня, нацеленных на современные веб-браузеры. В течение 2025 года Google устранила еще восемь уязвимостей нулевого дня в Chrome, которые были использованы злоумышленниками. Несколько из этих уязвимостей были выявлены группой анализа угроз Google (TAG), специализированной командой, известной отслеживанием сложных операций кибершпионажа и кампаний по распространению шпионского ПО.
Постоянное обнаружение активно используемых уязвимостей подчеркивает важность своевременных обновлений браузеров и быстрого устранения уязвимостей для защиты пользователей от постоянно меняющихся киберугроз.
