CVE-2026-11645 Cenueshmëria e Chrome
Google ka publikuar përditësime sigurie emergjente për të adresuar një tjetër dobësi zero-day të shfrytëzuar në mënyrë aktive në shfletuesin Chrome. E meta, e gjurmuar si CVE-2026-11645, shënon të pestin patch zero-day të Chrome të përditësuar nga kompania që nga fillimi i vitit 2026.
Sipas Google, provat konfirmojnë se një shfrytëzim që synon këtë dobësi po përdoret tashmë në sulme në botën reale. Problemi iu raportua në mënyrë anonime kompanisë dhe një zgjidhje u vendos më pas përmes kanalit Stable Desktop.
Versionet e patch-uara po shpërndahen aktualisht globalisht për Windows (149.0.7827.102), macOS (149.0.7827.103) dhe Linux (149.0.7827.102). Megjithatë, procesi i përditësimit mund të zgjasë disa ditë ose edhe javë para se të arrijë te të gjithë përdoruesit e Chrome.
Për ata që nuk instalojnë manualisht përditësimet, Chrome është projektuar për të kontrolluar dhe zbatuar automatikisht rregullimet e sigurisë të disponueshme gjatë hapjes së ardhshme të shfletuesit.
Tabela e Përmbajtjes
Brenda CVE-2026-11645: Një defekt i rrezikshëm i motorit V8
Dobësia me ashpërsi të lartë buron nga një dobësi e leximit dhe shkrimit jashtë kufijve brenda motorit JavaScript V8 të Chrome. Sulmuesit mund ta shfrytëzojnë këtë të metë përmes faqeve HTML të krijuara posaçërisht, duke mundësuar potencialisht ekzekutimin arbitrar të kodit brenda mjedisit sandbox të shfletuesit.
Shfrytëzimi i suksesshëm mund të rezultojë në korruptim të heap-it, duke u lejuar sulmuesve të hyjnë në memorie jashtë kufijve të synuar. Kjo sjellje mund të ekspozojë informacione të ndjeshme, të shkaktojë rrëzime të shfletuesit ose të lehtësojë aktivitete të tjera dashakeqe.
Përtej aksesit të paautorizuar në memorie, kjo dobësi mund të shfrytëzohet edhe për të anashkaluar mbrojtjet e sigurisë, të tilla si Randomizimi i Paraqitjes së Hapësirës së Adresave (ASLR), duke rritur mundësinë e arritjes së ekzekutimit të kodit kur kombinohet me dobësi të tjera.
Zbulim i kufizuar për të mbrojtur përdoruesit
Edhe pse Google ka pranuar shfrytëzimin aktiv të dobësisë, kompania ende nuk ka zbuluar detaje teknike në lidhje me sulmet. Qasja në informacionin e defekteve dhe burimet përkatëse mund të mbetet e kufizuar derisa një pjesë e konsiderueshme e përdoruesve të Chrome të kenë instaluar përditësimin e sigurisë.
Kufizimet mund të vazhdojnë gjithashtu nëse kodi i prekur ekziston brenda bibliotekave të palëve të treta që përdoren nga projekte të tjera dhe ende nuk kanë zbatuar rregullimet e tyre.
Një listë në rritje e kërcënimeve zero-ditore në vitin 2026
CVE-2026-11645 i bashkohet disa versioneve të tjera zero-day të Chrome që janë shfrytëzuar në mënyrë aktive këtë vit:
- CVE-2026-2441 – Një dobësi e pavlefshmërisë së iteratorit në CSSFontFeatureValuesMap, e përditësuar në shkurt.
- CVE-2026-3909 – Një defekt shkrimi jashtë kufijve në bibliotekën grafike Skia 2D, i shfrytëzuar në mars.
- CVE-2026-3910 – Një dobësi e papërshtatshme implementimi që ndikon në motorin V8 JavaScript dhe WebAssembly, e shfrytëzuar gjithashtu në mars.
- CVE-2026-5281 – Një dobësi që nuk përdoret më pas në Dawn, implementimi ndërplatformor i WebGPU i Chromium, e cila u përditësua në prill.
Beteja e vazhdueshme e Chrome kundër shfrytëzimeve Zero-Day
Përditësimi më i fundit emergjent nxjerr në pah kërcënimin e vazhdueshëm që paraqesin dobësitë zero-day që synojnë shfletuesit modernë të internetit. Gjatë gjithë vitit 2025, Google trajtoi tetë dobësi të tjera zero-day të Chrome që u shfrytëzuan në mënyrë të paligjshme. Disa nga këto dobësi u identifikuan nga Grupi i Analizës së Kërcënimeve (TAG) i Google, një ekip i specializuar i njohur për ndjekjen e operacioneve të sofistikuara të spiunazhit kibernetik dhe fushatave të spiunazhit.
Zbulimi i vazhdueshëm i të metave të shfrytëzuara në mënyrë aktive nënvizon rëndësinë e përditësimeve në kohë të shfletuesve dhe korrigjimit të shpejtë të dobësive në mbrojtjen e përdoruesve nga kërcënimet kibernetike në zhvillim.
