Zraniteľnosť CVE-2026-11645 v prehliadači Chrome
Spoločnosť Google vydala núdzové bezpečnostné aktualizácie, ktoré riešia ďalšiu aktívne zneužívanú zraniteľnosť typu zero-day v prehliadači Chrome. Chyba s označením CVE-2026-11645 predstavuje piatu zraniteľnosť typu zero-day pre prehliadač Chrome, ktorú spoločnosť od začiatku roka 2026 opravila.
Podľa spoločnosti Google dôkazy potvrdzujú, že zneužitie zamerané na túto zraniteľnosť sa už používa v reálnych útokoch. Problém bol spoločnosti nahlásený anonymne a následne bola prostredníctvom kanála Stable Desktop nasadená oprava.
Opravené verzie sa momentálne zavádzajú globálne pre Windows (149.0.7827.102), macOS (149.0.7827.103) a Linux (149.0.7827.102). Proces aktualizácie však môže trvať niekoľko dní alebo dokonca týždňov, kým sa dostane ku všetkým používateľom prehliadača Chrome.
Pre tých, ktorí si aktualizácie neinštalujú manuálne, je prehliadač Chrome navrhnutý tak, aby pri ďalšom spustení prehliadača automaticky skontroloval a použil dostupné bezpečnostné opravy.
Obsah
Vnútri CVE-2026-11645: Nebezpečná chyba motora V8
Vysoko závažná zraniteľnosť pochádza zo slabiny čítania a zápisu mimo hraníc v JavaScriptovom engine V8 prehliadača Chrome. Útočníci môžu túto chybu zneužiť prostredníctvom špeciálne vytvorených HTML stránok, čo potenciálne umožňuje spustenie ľubovoľného kódu v prostredí sandbox prehliadača.
Úspešné zneužitie môže viesť k poškodeniu haldy, čo útočníkom umožní prístup k pamäti mimo určených hraníc. Toto správanie môže odhaliť citlivé informácie, spôsobiť zlyhanie prehliadača alebo uľahčiť ďalšiu škodlivú aktivitu.
Okrem neoprávneného prístupu do pamäte by sa táto zraniteľnosť mohla zneužiť aj na obídenie bezpečnostných opatrení, ako je napríklad randomizácia rozloženia adresného priestoru (ASLR), čím sa v kombinácii s ďalšími slabinami zvyšuje pravdepodobnosť spustenia kódu.
Obmedzené zverejnenie na ochranu používateľov
Hoci spoločnosť Google uznala aktívne zneužívanie zraniteľnosti, zatiaľ nezverejnila technické podrobnosti týkajúce sa útokov. Prístup k informáciám o chybách a súvisiacim zdrojom môže zostať obmedzený, kým si značná časť používateľov prehliadača Chrome nenainštaluje bezpečnostnú aktualizáciu.
Obmedzenia môžu pokračovať aj v prípade, že dotknutý kód existuje v knižniciach tretích strán, ktoré používajú iné projekty a ešte neimplementovali vlastné opravy.
Rastúci zoznam zero-day hrozieb v roku 2026
CVE-2026-11645 sa pripája k niekoľkým ďalším zero-day útokom v prehliadači Chrome, ktoré boli tento rok aktívne zneužité:
- CVE-2026-2441 – Zraniteľnosť umožňujúca zneplatnenie iterátora v CSSFontFeatureValuesMap, opravená vo februári.
- CVE-2026-3909 – Chyba v grafickej knižnici Skia 2D typu zápisu mimo povoleného rozsahu, zneužitá v marci.
- CVE-2026-3910 – Zraniteľnosť týkajúca sa nevhodnej implementácie ovplyvňujúca engine V8 JavaScript a WebAssembly, ktorá bola zneužitá aj v marci.
- CVE-2026-5281 – Zraniteľnosť typu „použi po uvoľnení“ v Dawn, multiplatformovej implementácii WebGPU v prehliadači Chromium, opravená v apríli.
Prebiehajúci boj prehliadača Chrome proti zero-day exploitom
Najnovšia núdzová aktualizácia zdôrazňuje pretrvávajúcu hrozbu, ktorú predstavujú zraniteľnosti typu „zero-day“ zamerané na moderné webové prehliadače. V priebehu roka 2025 spoločnosť Google riešila osem ďalších zraniteľností typu „zero-day“ v prehliadači Chrome, ktoré boli zneužívané v reálnom čase. Niekoľko z týchto zraniteľností identifikovala skupina pre analýzu hrozieb (TAG) spoločnosti Google, špecializovaný tím známy sledovaním sofistikovaných kybernetických špionážnych operácií a špionážnych kampaní.
Neustále odhaľovanie aktívne zneužívaných chýb zdôrazňuje dôležitosť včasných aktualizácií prehliadačov a rýchlej nápravy zraniteľností pri ochrane používateľov pred vyvíjajúcimi sa kybernetickými hrozbami.
