Вразливість CVE-2026-11645 у Chrome
Google випустила екстрені оновлення безпеки для усунення ще однієї активно використовуваної вразливості нульового дня в браузері Chrome. Вразливість, що відстежується як CVE-2026-11645, є п'ятим патчем нульового дня для Chrome, виправленим компанією з початку 2026 року.
За даними Google, докази підтверджують, що експлойт, спрямований на цю вразливість, вже використовується в реальних атаках. Про проблему анонімно повідомили компанії, і згодом через канал Stable Desktop було розгорнуто виправлення.
Виправлені версії зараз розгортаються по всьому світу для Windows (149.0.7827.102), macOS (149.0.7827.103) та Linux (149.0.7827.102). Однак процес оновлення може тривати кілька днів або навіть тижнів, перш ніж він досягне всіх користувачів Chrome.
Для тих, хто не встановлює оновлення вручну, Chrome розроблений для автоматичної перевірки наявності та застосування доступних виправлень безпеки під час наступного запуску браузера.
Зміст
Всередині CVE-2026-11645: Небезпечний дефект двигуна V8
Ця вразливість високого рівня серйозності походить від слабкості движка JavaScript V8 у Chrome, що дозволяє читати та записувати за межами дозволених параметрів. Зловмисники можуть використовувати цю вразливість через спеціально створені HTML-сторінки, що потенційно дозволяє виконувати довільний код у середовищі «пісочниці» браузера.
Успішна експлуатація може призвести до пошкодження купи, що дозволить зловмисникам отримати доступ до пам'яті поза межами передбачених можливостей. Така поведінка може розкрити конфіденційну інформацію, спричинити збої браузера або сприяти додатковій шкідливій діяльності.
Окрім несанкціонованого доступу до пам'яті, цю вразливість також можна використовувати для обходу засобів безпеки, таких як рандомізація адресного простору (ASLR), що збільшує ймовірність виконання коду в поєднанні з іншими вразливостями.
Обмежене розкриття інформації для захисту користувачів
Хоча Google визнала активне використання вразливості, компанія ще не розкрила технічних деталей щодо атак. Доступ до інформації про помилки та пов’язаних ресурсів може залишатися обмеженим, доки значна частина користувачів Chrome не встановить оновлення безпеки.
Обмеження також можуть продовжуватися, якщо уражений код існує в сторонніх бібліотеках, які використовуються іншими проектами та ще не реалізували власні виправлення.
Зростаючий список загроз нульового дня у 2026 році
CVE-2026-11645 приєднується до кількох інших хакерських атак нулевого дня в Chrome, які активно використовувалися цього року:
- CVE-2026-2441 – Вразливість, що призводить до недійсності ітератора в CSSFontFeatureValuesMap, виправлена в лютому.
Тривала боротьба Chrome проти експлойтів нульового дня
Останнє екстрене оновлення підкреслює постійну загрозу, яку створюють вразливості нульового дня, спрямовані на сучасні веббраузери. Протягом 2025 року Google вирішила ще вісім вразливостей нульового дня в Chrome, які використовувалися в реальних умовах. Кілька з цих вразливостей були виявлені Групою аналізу загроз Google (TAG) – спеціалізованою командою, відомою відстеженням складних операцій кібершпигунства та кампаній шпигунського програмного забезпечення.
Постійне виявлення активно використовуваних вразливостей підкреслює важливість своєчасного оновлення браузера та швидкого усунення вразливостей для захисту користувачів від кіберзагроз, що постійно змінюються.
