CVE-2026-11645 குரோம் பாதிப்பு

Chrome உலாவியில் தீவிரமாகப் பயன்படுத்தப்பட்டு வரும் மற்றொரு ஜீரோ-டே பாதிப்பைச் சரிசெய்வதற்காக, கூகிள் அவசரகாலப் பாதுகாப்புப் புதுப்பிப்புகளை வெளியிட்டுள்ளது. CVE-2026-11645 எனக் கண்காணிக்கப்படும் இந்தக் குறைபாடு, 2026 ஆம் ஆண்டின் தொடக்கத்திலிருந்து அந்நிறுவனம் சரிசெய்த ஐந்தாவது Chrome ஜீரோ-டே பாதிப்பாகும்.

கூகிளின் கூற்றுப்படி, இந்தப் பாதிப்பைக் குறிவைக்கும் ஒரு சுரண்டல் முறை, நிஜ உலகத் தாக்குதல்களில் ஏற்கனவே பயன்படுத்தப்பட்டு வருவதை ஆதாரங்கள் உறுதிப்படுத்துகின்றன. இந்தப் பிரச்சினை நிறுவனத்திற்கு அநாமதேயமாகப் புகாரளிக்கப்பட்டதைத் தொடர்ந்து, ஸ்டேபிள் டெஸ்க்டாப் சேனல் வழியாக ஒரு தீர்வு வெளியிடப்பட்டது.

திருத்தப்பட்ட பதிப்புகள் தற்போது விண்டோஸ் (149.0.7827.102), மேக்ஓஎஸ் (149.0.7827.103) மற்றும் லினக்ஸ் (149.0.7827.102) ஆகியவற்றுக்கு உலகளவில் வெளியிடப்பட்டு வருகின்றன. இருப்பினும், இந்த மேம்படுத்தல் செயல்முறை அனைத்து குரோம் பயனர்களையும் சென்றடைய பல நாட்கள் அல்லது வாரங்கள் கூட ஆகலாம்.

புதுப்பிப்புகளைக் கைமுறையாக நிறுவப்படாதவர்களுக்காக, அடுத்த முறை உலாவியைத் திறக்கும்போது, கிடைக்கக்கூடிய பாதுகாப்புத் திருத்தங்களைத் தானாகவே சரிபார்த்துப் பயன்படுத்தும் வகையில் Chrome வடிவமைக்கப்பட்டுள்ளது.

CVE-2026-11645-இன் உள்ளே: ஒரு அபாயகரமான V8 இன்ஜின் குறைபாடு

இந்த அதிகத் தீவிரத்தன்மை கொண்ட பாதிப்பானது, Chrome-இன் V8 ஜாவாஸ்கிரிப்ட் எஞ்சினில் உள்ள வரம்பிற்கு மீறிய வாசிப்பு மற்றும் எழுதுதல் குறைபாட்டிலிருந்து உருவாகிறது. தாக்குபவர்கள், பிரத்யேகமாக வடிவமைக்கப்பட்ட HTML பக்கங்கள் மூலம் இந்தக் குறைபாட்டைப் பயன்படுத்திக்கொள்ள முடியும். இதன்மூலம், உலாவியின் சோதனைச் சூழலுக்குள் (sandbox environment) தன்னிச்சையான குறியீடு செயல்படுத்தலை இது சாத்தியமாக்கக்கூடும்.

வெற்றிகரமான சுரண்டல், ஹீப் சிதைவை ஏற்படுத்தி, தாக்குபவர்கள் திட்டமிடப்பட்ட எல்லைகளுக்கு வெளியே உள்ள நினைவகத்தை அணுக வழிவகுக்கும். இந்த நடத்தை, முக்கியமான தகவல்களை வெளிப்படுத்தலாம், உலாவி செயலிழப்புகளை ஏற்படுத்தலாம் அல்லது கூடுதல் தீங்கிழைக்கும் செயல்பாடுகளை எளிதாக்கலாம்.

அங்கீகரிக்கப்படாத நினைவக அணுகலைத் தாண்டி, இந்த பாதிப்பானது முகவரி இடைவெளி தளவமைப்பு சீரற்றமயமாக்கல் (ASLR) போன்ற பாதுகாப்பு ஏற்பாடுகளைத் தவிர்ப்பதற்கும் பயன்படுத்தப்படலாம், மேலும் இது மற்ற பலவீனங்களுடன் இணையும்போது குறியீடு செயல்படுத்தப்படுவதற்கான சாத்தியக்கூறை அதிகரிக்கிறது.

பயனர்களைப் பாதுகாப்பதற்காக வரையறுக்கப்பட்ட வெளிப்படுத்தல்

இந்தப் பாதிப்பு தீவிரமாகப் பயன்படுத்தப்படுவதை கூகிள் ஒப்புக்கொண்ட போதிலும், அந்தத் தாக்குதல்கள் குறித்த தொழில்நுட்ப விவரங்களை அந்நிறுவனம் இன்னும் வெளியிடவில்லை. குரோம் பயனர்களில் கணிசமான பகுதியினர் பாதுகாப்புப் புதுப்பிப்பை நிறுவும் வரை, பிழைத் தகவல்கள் மற்றும் அது தொடர்பான ஆதாரங்களுக்கான அணுகல் கட்டுப்படுத்தப்பட்டே இருக்கலாம்.

பாதிக்கப்பட்ட குறியீடு, பிற திட்டங்களால் பயன்படுத்தப்படும் மற்றும் இன்னும் தங்களின் சொந்தத் திருத்தங்களைச் செயல்படுத்தாத மூன்றாம் தரப்பு நூலகங்களில் இடம்பெற்றிருந்தால், கட்டுப்பாடுகள் தொடரலாம்.

2026-ல் அதிகரித்து வரும் ஜீரோ-டே அச்சுறுத்தல்களின் பட்டியல்

இந்த ஆண்டு தீவிரமாகப் பயன்படுத்தப்பட்ட பல Chrome ஜீரோ-டே தாக்குதல்களுடன் CVE-2026-11645-ம் இணைகிறது:

• CVE-2026-2441 – CSSFontFeatureValuesMap-இல் இருந்த ஒரு இட்டரேட்டர் செல்லாததாக்கும் பாதிப்பு, பிப்ரவரியில் சரிசெய்யப்பட்டது.

ஜீரோ-டே எக்ஸ்ப்ளாய்டுகளுக்கு எதிரான குரோமின் தொடர் போராட்டம்

நவீன இணைய உலாவிகளைக் குறிவைக்கும் ஜீரோ-டே பாதிப்புகளால் ஏற்படும் தொடர்ச்சியான அச்சுறுத்தலை, சமீபத்திய அவசரகாலப் புதுப்பிப்பு எடுத்துக்காட்டுகிறது. 2025 ஆம் ஆண்டு முழுவதும், பரவலாகப் பயன்படுத்தப்பட்ட மேலும் எட்டு குரோம் ஜீரோ-டே பாதிப்புகளை கூகிள் சரிசெய்தது. அந்தப் பாதிப்புகளில் பல, அதிநவீன இணைய உளவு நடவடிக்கைகள் மற்றும் ஸ்பைவேர் பிரச்சாரங்களைக் கண்காணிப்பதில் பெயர் பெற்ற ஒரு சிறப்பு அணியான கூகிளின் அச்சுறுத்தல் பகுப்பாய்வுக் குழுவால் (TAG) அடையாளம் காணப்பட்டன.

தீவிரமாகப் பயன்படுத்தப்படும் குறைபாடுகள் தொடர்ந்து கண்டறியப்படுவது, வளர்ந்து வரும் இணைய அச்சுறுத்தல்களிலிருந்து பயனர்களைப் பாதுகாப்பதில், சரியான நேரத்தில் உலாவிகளைப் புதுப்பிப்பதன் மற்றும் பாதிப்புகளை விரைவாகச் சரிசெய்வதன் முக்கியத்துவத்தை அடிக்கோடிட்டுக் காட்டுகிறது.