Kahinaan sa Chrome (CVE-2026-11645)

Naglabas ang Google ng mga emergency security update upang matugunan ang isa pang aktibong sinasamantalang zero-day vulnerability sa Chrome browser. Ang depekto, na sinusubaybayan bilang CVE-2026-11645, ay minamarkahan ang ikalimang Chrome zero-day patched na inayos ng kumpanya simula noong simula ng 2026.

Ayon sa Google, kinukumpirma ng ebidensya na ang isang exploit na tumatarget sa kahinaang ito ay ginagamit na sa mga totoong pag-atake. Ang isyu ay iniulat nang hindi nagpapakilala sa kumpanya, at isang pag-aayos ang isinagawa sa pamamagitan ng Stable Desktop channel.

Kasalukuyang inilulunsad sa buong mundo ang mga na-patch na bersyon para sa Windows (149.0.7827.102), macOS (149.0.7827.103), at Linux (149.0.7827.102). Gayunpaman, maaaring tumagal nang ilang araw o kahit linggo ang proseso ng pag-update bago maabot ang lahat ng user ng Chrome.

Para sa mga hindi manu-manong nag-i-install ng mga update, idinisenyo ang Chrome para awtomatikong suriin at ilapat ang mga available na pag-aayos sa seguridad sa susunod na paglulunsad ng browser.

Sa Loob ng CVE-2026-11645: Isang Mapanganib na Depekto sa Makinang V8

Ang kahinaang may mataas na antas ng kalubhaan ay nagmumula sa isang kahinaan sa pagbasa at pagsulat na wala sa hangganan sa loob ng V8 JavaScript engine ng Chrome. Maaaring samantalahin ng mga umaatake ang depekto sa pamamagitan ng mga espesyal na ginawang HTML page, na posibleng nagbibigay-daan sa arbitraryong pagpapatupad ng code sa loob ng sandbox environment ng browser.

Ang matagumpay na pagsasamantala ay maaaring magresulta sa heap corruption, na nagpapahintulot sa mga attacker na ma-access ang memory sa labas ng nilalayong mga hangganan. Ang pag-uugaling ito ay maaaring maglantad ng sensitibong impormasyon, magdulot ng pag-crash ng browser, o magpadali ng karagdagang malisyosong aktibidad.

Higit pa sa hindi awtorisadong pag-access sa memorya, ang kahinaan ay maaari ring gamitin upang malampasan ang mga proteksyon sa seguridad tulad ng Address Space Layout Randomization (ASLR), na nagpapataas ng posibilidad na makamit ang pagpapatupad ng code kapag isinama sa iba pang mga kahinaan.

Limitadong Pagbubunyag upang Protektahan ang mga Gumagamit

Bagama't kinilala ng Google ang aktibong pagsasamantala sa kahinaan, hindi pa isiniwalat ng kumpanya ang mga teknikal na detalye tungkol sa mga pag-atake. Ang pag-access sa impormasyon ng bug at mga kaugnay na mapagkukunan ay maaaring manatiling limitado hanggang sa mai-install ng isang malaking bahagi ng mga gumagamit ng Chrome ang update sa seguridad.

Maaari ring magpatuloy ang mga paghihigpit kung ang apektadong code ay umiiral sa loob ng mga third-party na library na ginagamit ng ibang mga proyekto at hindi pa naipapatupad ang sarili nilang mga pag-aayos.

Isang Lumalaking Listahan ng mga Banta ng Zero-Day sa 2026

Ang CVE-2026-11645 ay sumasali sa ilan pang Chrome zero-days na aktibong ginamit ngayong taon:

• CVE-2026-2441 – Isang kahinaan sa pagpapawalang-bisa ng iterator sa CSSFontFeatureValuesMap, na na-patch noong Pebrero.

• CVE-2026-3909 – Isang depekto sa pagsulat na hindi akma sa hangganan (out-of-bounds) sa Skia 2D graphics library, na ginamit noong Marso.

• CVE-2026-3910 – Isang kahinaan sa hindi naaangkop na implementasyon na nakakaapekto sa V8 JavaScript at WebAssembly engine, na ginamit din noong Marso.

• CVE-2026-5281 – Isang kahinaan sa use-after-free sa Dawn, ang cross-platform na implementasyon ng WebGPU ng Chromium, na na-patch noong Abril.

Patuloy na Labanan ng Chrome Laban sa mga Zero-Day Exploits

Itinatampok ng pinakabagong emergency update ang patuloy na banta na dulot ng mga kahinaan ng zero-day na tumatarget sa mga modernong web browser. Sa buong 2025, tinugunan ng Google ang walong karagdagang Chrome zero-day na sinamantala sa kalikasan. Ilan sa mga kahinaang iyon ay natukoy ng Threat Analysis Group (TAG) ng Google, isang espesyalisadong pangkat na kilala sa pagsubaybay sa mga sopistikadong operasyon ng cyber-espionage at mga kampanya ng spyware.

Ang patuloy na pagtuklas ng mga aktibong sinasamantalang depekto ay nagbibigay-diin sa kahalagahan ng napapanahong mga pag-update ng browser at mabilis na paglutas ng mga kahinaan sa pagprotekta sa mga user laban sa mga umuusbong na banta sa cyber.