Ranljivost Chroma CVE-2026-11645
Google je izdal nujne varnostne posodobitve, s katerimi je odpravil še eno aktivno izkoriščano ranljivost ničelnega dne v brskalniku Chrome. Napaka, označena kot CVE-2026-11645, je že peta ranljivost ničelnega dne za Chrome, ki jo je podjetje od začetka leta 2026 odpravil.
Po navedbah Googla dokazi potrjujejo, da se izkoriščanje te ranljivosti že uporablja v napadih v resničnem svetu. Težava je bila anonimno prijavljena podjetju, popravek pa je bil nato nameščen prek kanala Stable Desktop.
Popravki se trenutno uvajajo po vsem svetu za Windows (149.0.7827.102), macOS (149.0.7827.103) in Linux (149.0.7827.102). Vendar pa lahko postopek posodobitve traja več dni ali celo tednov, preden doseže vse uporabnike Chroma.
Za tiste, ki posodobitev ne nameščajo ročno, je Chrome zasnovan tako, da ob naslednjem zagonu brskalnika samodejno preveri in uporabi razpoložljive varnostne popravke.
Kazalo
V notranjosti CVE-2026-11645: Nevarna napaka motorja V8
Ranljivost visoke resnosti izvira iz šibke točke za branje in pisanje izven meja v Chromovem mehanizmu JavaScript V8. Napadalci lahko izkoristijo napako s posebej izdelanimi stranmi HTML, kar lahko omogoči izvajanje poljubne kode znotraj peskovnika brskalnika.
Uspešna izkoriščanje lahko povzroči poškodbo kopice, kar napadalcem omogoči dostop do pomnilnika zunaj predvidenih meja. Takšno vedenje lahko razkrije občutljive informacije, povzroči zrušitve brskalnika ali omogoči dodatne zlonamerne dejavnosti.
Poleg nepooblaščenega dostopa do pomnilnika bi se ranljivost lahko izkoristila tudi za obhod varnostnih zaščit, kot je naključna razporeditev naslovnega prostora (ASLR), kar v kombinaciji z drugimi slabostmi poveča verjetnost izvedbe kode.
Omejeno razkritje za zaščito uporabnikov
Čeprav je Google priznal aktivno izkoriščanje ranljivosti, podjetje še ni razkrilo tehničnih podrobnosti o napadih. Dostop do informacij o napakah in sorodnih virov lahko ostane omejen, dokler znaten delež uporabnikov Chroma ne namesti varnostne posodobitve.
Omejitve lahko ostanejo v veljavi tudi, če prizadeta koda obstaja v knjižnicah tretjih oseb, ki jih uporabljajo drugi projekti in še niso uvedle lastnih popravkov.
Naraščajoči seznam groženj ničelnega dne v letu 2026
CVE-2026-11645 se pridružuje številnim drugim zgrešenim virusom Chroma, ki so bili letos aktivno izkoriščeni:
- CVE-2026-2441 – Ranljivost, ki povzroča razveljavitev iteratorja v CSSFontFeatureValuesMap, popravljena februarja.
- CVE-2026-3909 – Napaka pri pisanju izven meja v grafični knjižnici Skia 2D, izkoriščena marca.
- CVE-2026-3910 – Ranljivost neprimerne implementacije, ki vpliva na mehanizem V8 JavaScript in WebAssembly, izkoriščena tudi marca.
- CVE-2026-5281 – Ranljivost »uporabi po sprostitvi« v Dawn, Chromiumovi večplatformski implementaciji WebGPU, odpravljena aprila.
Chrome se še naprej bori proti izkoriščanju zero-day virusov
Najnovejša posodobitev v sili poudarja vztrajno grožnjo, ki jo predstavljajo ranljivosti ničelnega dne, usmerjene v sodobne spletne brskalnike. Google je v letu 2025 odpravil osem dodatnih ranljivosti ničelnega dne v Chromu, ki so bile izkoriščene v naravi. Več teh ranljivosti je odkrila Googlova skupina za analizo groženj (TAG), specializirana ekipa, znana po sledenju sofisticiranih operacij kibernetskega vohunjenja in kampanj vohunske programske opreme.
Nenehno odkrivanje aktivno izkoriščanih napak poudarja pomen pravočasnih posodobitev brskalnikov in hitrega odpravljanja ranljivosti pri zaščiti uporabnikov pred razvijajočimi se kibernetskimi grožnjami.
