CVE-2026-11645 క్రోమ్ దుర్బలత్వం

క్రోమ్ బ్రౌజర్‌లో చురుకుగా దుర్వినియోగం చేయబడుతున్న మరో జీరో-డే దుర్బలత్వాన్ని పరిష్కరించడానికి గూగుల్ అత్యవసర భద్రతా అప్‌డేట్‌లను విడుదల చేసింది. CVE-2026-11645గా గుర్తించబడిన ఈ లోపం, 2026 ప్రారంభం నుండి కంపెనీ పరిష్కరించిన ఐదవ క్రోమ్ జీరో-డే లోపం.

గూగుల్ ప్రకారం, ఈ బలహీనతను లక్ష్యంగా చేసుకున్న ఒక ఎక్స్‌ప్లాయిట్ ఇప్పటికే వాస్తవ ప్రపంచ దాడులలో ఉపయోగించబడుతోందని ఆధారాలు నిర్ధారిస్తున్నాయి. ఈ సమస్యను కంపెనీకి అనామకంగా నివేదించగా, తదనంతరం స్టేబుల్ డెస్క్‌టాప్ ఛానల్ ద్వారా ఒక పరిష్కారం అమలు చేయబడింది.

ప్యాచ్ చేయబడిన వెర్షన్‌లు ప్రస్తుతం విండోస్ (149.0.7827.102), మాక్‌ఓఎస్ (149.0.7827.103), మరియు లైనక్స్ (149.0.7827.102) కోసం ప్రపంచవ్యాప్తంగా విడుదల చేయబడుతున్నాయి. అయితే, ఈ అప్‌డేట్ ప్రక్రియ క్రోమ్ వినియోగదారులందరికీ చేరడానికి కొన్ని రోజులు లేదా వారాలు కూడా పట్టవచ్చు.

అప్‌డేట్‌లను మాన్యువల్‌గా ఇన్‌స్టాల్ చేసుకోని వారి కోసం, తదుపరి బ్రౌజర్ లాంచ్ సమయంలో అందుబాటులో ఉన్న భద్రతా పరిష్కారాలను ఆటోమేటిక్‌గా తనిఖీ చేసి, వర్తింపజేసేలా Chrome రూపొందించబడింది.

CVE-2026-11645 లోపల: ఒక ప్రమాదకరమైన V8 ఇంజిన్ లోపం

ఈ అధిక తీవ్రత గల దుర్బలత్వం, క్రోమ్ యొక్క V8 జావాస్క్రిప్ట్ ఇంజిన్‌లోని అవుట్-ఆఫ్-బౌండ్స్ రీడ్ మరియు రైట్ బలహీనత నుండి ఉద్భవించింది. దాడి చేసేవారు ప్రత్యేకంగా రూపొందించిన HTML పేజీల ద్వారా ఈ లోపాన్ని ఉపయోగించుకోవచ్చు, తద్వారా బ్రౌజర్ యొక్క శాండ్‌బాక్స్ వాతావరణంలో ఏకపక్ష కోడ్ అమలుకు అవకాశం కల్పించవచ్చు.

విజయవంతమైన దాడి హీప్ కరప్షన్‌కు దారితీయవచ్చు, దీనివల్ల దాడి చేసేవారు ఉద్దేశించిన పరిధులకు వెలుపల ఉన్న మెమరీని యాక్సెస్ చేయగలుగుతారు. ఈ ప్రవర్తన సున్నితమైన సమాచారాన్ని బహిర్గతం చేయవచ్చు, బ్రౌజర్ క్రాష్‌లకు కారణం కావచ్చు లేదా అదనపు హానికరమైన కార్యకలాపాలను సులభతరం చేయవచ్చు.

అనధికార మెమరీ యాక్సెస్ మాత్రమే కాకుండా, ఈ బలహీనతను అడ్రస్ స్పేస్ లేఅవుట్ రాండమైజేషన్ (ASLR) వంటి భద్రతా రక్షణలను దాటవేయడానికి కూడా ఉపయోగించుకోవచ్చు, దీనివల్ల ఇతర లోపాలతో కలిసినప్పుడు కోడ్ ఎగ్జిక్యూషన్ సాధించే అవకాశం పెరుగుతుంది.

వినియోగదారులను రక్షించడానికి పరిమిత బహిర్గతం

ఈ లోపాన్ని చురుకుగా దుర్వినియోగం చేస్తున్నట్లు గూగుల్ అంగీకరించినప్పటికీ, ఆ దాడులకు సంబంధించిన సాంకేతిక వివరాలను ఆ సంస్థ ఇంకా వెల్లడించలేదు. గణనీయమైన సంఖ్యలో క్రోమ్ వినియోగదారులు భద్రతా అప్‌డేట్‌ను ఇన్‌స్టాల్ చేసే వరకు, బగ్ సమాచారం మరియు సంబంధిత వనరులకు ప్రాప్యత పరిమితంగానే ఉండవచ్చు.

ఇతర ప్రాజెక్ట్‌లు ఉపయోగించే మరియు ఇంకా తమ సొంత పరిష్కారాలను అమలు చేయని థర్డ్-పార్టీ లైబ్రరీలలో ప్రభావితమైన కోడ్ ఉన్నట్లయితే కూడా ఆంక్షలు కొనసాగవచ్చు.

2026లో పెరుగుతున్న జీరో-డే ముప్పుల జాబితా

ఈ సంవత్సరం చురుకుగా దుర్వినియోగం చేయబడిన అనేక ఇతర క్రోమ్ జీరో-డేల సరసన CVE-2026-11645 కూడా చేరింది:

• CVE-2026-2441 – CSSFontFeatureValuesMapలో ఒక ఇటరేటర్ ఇన్వాలిడేషన్ దుర్బలత్వం, ఫిబ్రవరిలో సరిచేయబడింది.

జీరో-డే ఎక్స్‌ప్లాయిట్‌లకు వ్యతిరేకంగా క్రోమ్ చేస్తున్న పోరాటం

ఆధునిక వెబ్ బ్రౌజర్‌లను లక్ష్యంగా చేసుకున్న జీరో-డే బలహీనతల వల్ల పొంచి ఉన్న నిరంతర ముప్పును తాజా అత్యవసర అప్‌డేట్ హైలైట్ చేస్తుంది. 2025 సంవత్సరం పొడవునా, వాస్తవ ప్రపంచంలో దుర్వినియోగం చేయబడిన మరో ఎనిమిది క్రోమ్ జీరో-డేలను గూగుల్ పరిష్కరించింది. అధునాతన సైబర్-గూఢచర్య కార్యకలాపాలు మరియు స్పైవేర్ ప్రచారాలను ట్రాక్ చేయడంలో పేరుగాంచిన ప్రత్యేక బృందమైన గూగుల్ థ్రెట్ అనాలిసిస్ గ్రూప్ (TAG) ద్వారా ఆ బలహీనతలలో కొన్ని గుర్తించబడ్డాయి.

చురుకుగా దుర్వినియోగం చేయబడుతున్న లోపాలను నిరంతరం కనుగొనడం అనేది, అభివృద్ధి చెందుతున్న సైబర్ ముప్పుల నుండి వినియోగదారులను రక్షించడంలో సకాలంలో బ్రౌజర్ అప్‌డేట్‌లు మరియు వేగవంతమైన దుర్బలత్వ నివారణ యొక్క ప్రాముఖ్యతను నొక్కి చెబుతోంది.