Рањивост CVE-2026-11645 у Chrome-у
Гугл је објавио хитне безбедносне исправке како би решио још једну активно искоришћену зеро-дај рањивост у прегледачу Chrome. Рањивост, обележена као CVE-2026-11645, означава пету зеро-дај закрпу за Chrome коју је компанија исправила од почетка 2026. године.
Према компанији Google, докази потврђују да се експлоит усмерен на ову рањивост већ користи у нападима у стварном свету. Проблем је анонимно пријављен компанији, а исправка је накнадно имплементирана путем канала Stable Desktop.
Закрпљене верзије се тренутно глобално објављују за Windows (149.0.7827.102), macOS (149.0.7827.103) и Linux (149.0.7827.102). Међутим, процес ажурирања може потрајати неколико дана или чак недеља пре него што стигне до свих корисника Chrome-а.
За оне који не инсталирају ручно ажурирања, Chrome је дизајниран да аутоматски провери и примени доступне безбедносне исправке током следећег покретања прегледача.
Преглед садржаја
Унутар CVE-2026-11645: Опасна грешка V8 мотора
Рањивост високе озбиљности потиче од слабости у читању и писању ван граница унутар V8 JavaScript енџина прегледача Chrome. Нападачи могу да искористе грешку кроз специјално креиране HTML странице, што потенцијално омогућава произвољно извршавање кода унутар „пешчаног“ окружења прегледача.
Успешна експлоатација може довести до оштећења хипа, што омогућава нападачима приступ меморији ван предвиђених граница. Овакво понашање може открити осетљиве информације, изазвати пад прегледача или олакшати додатне злонамерне активности.
Поред неовлашћеног приступа меморији, рањивост би се такође могла искористити за заобилажење безбедносних заштита као што је рандомизација распореда адресног простора (ASLR), повећавајући вероватноћу извршења кода у комбинацији са другим слабостима.
Ограничено откривање ради заштите корисника
Иако је Гугл признао активно искоришћавање рањивости, компанија још увек није открила техничке детаље у вези са нападима. Приступ информацијама о грешкама и повезаним ресурсима може остати ограничен док значајан део корисника Хрома не инсталира безбедносно ажурирање.
Ограничења могу да се наставе и ако погођени код постоји унутар библиотека трећих страна које користе други пројекти, а које још нису имплементирале сопствене исправке.
Растућа листа претњи нултог дана у 2026. години
CVE-2026-11645 се придружио неколико других Chrome-ових zero-day провалних уязвимости које су активно искоришћене ове године:
- CVE-2026-2441 – Рањивост која поништава итератор у CSSFontFeatureValuesMap, исправљена у фебруару.
- CVE-2026-3909 – Грешка у писању ван граница у Skia 2D графичкој библиотеци, искоришћена у марту.
- CVE-2026-3910 – Рањивост у неприкладној имплементацији која утиче на V8 JavaScript и WebAssembly механизам, такође искоришћена у марту.
- CVE-2026-5281 – Рањивост типа „употреба након пуштања употребе“ у Dawn-у, Chromium-овој кросплатформској WebGPU имплементацији, исправљена је у априлу.
Chrome-ова континуирана борба против zero-day експлоата
Најновије хитно ажурирање истиче сталну претњу коју представљају zero-day рањивости усмерене на модерне веб прегледаче. Током 2025. године, Google је решио још осам Chrome zero-day рањивости које су биле искоришћене у јавности. Неколико тих рањивости идентификовала је Google-ова Група за анализу претњи (TAG), специјализовани тим познат по праћењу софистицираних операција сајбер шпијунаже и шпијунских кампања.
Континуирано откривање активно искоришћених пропуста наглашава важност благовремених ажурирања прегледача и брзог отклањања рањивости у заштити корисника од стално развијајућих сајбер претњи.
