Foto: SecurityWeek
Google je u ponedjeljak objavio ažuriranje za Chrome 149 koje zakrpava 74 ranjivosti, uključujući zero-day ranjivost koja je, prema objavi tvrtke, iskorištavana u stvarnim napadima. Ranjivost se prati pod oznakom CVE-2026-11645, a opisana je kao high-severity propust tipa out-of-bounds read/write u motoru V8. Takav propust napadaču na udaljenoj lokaciji može omogućiti izvršavanje proizvoljnog koda unutar sandboxa putem posebno izrađene HTML stranice.
Google navodi da nema informacija o samim napadima u kojima je CVE-2026-11645 korišten, ali dodaje da su je prijetitelji vjerojatno povezali s propustom za bijeg iz sandboxa. Prema Googleovu savjetniku za sigurnost, zero-day je tvrtki prijavio anonimni istraživač krajem travnja. Isti istraživač, pod Googleovim identifikatorom 303f06e3, ranije je prijavljivao i druge ranjivosti u Chromeu, a za odgovorno otkrivanje CVE-2026-11645 dobio je 55.000 dolara.
Ovo je peta Chromeova zero-day ranjivost koja je iskorištavana tijekom 2026. godine. Prethodno su zabilježene CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 i CVE-2026-5281. U isto vrijeme Google bilježi snažan porast broja ranjivosti koje pronalazi sam u Chromeu: u posljednjih nekoliko mjeseci otkriveno ih je na stotine, a većinu zakrpa u najnovijem izdanju čine propusti koje je pronašao upravo Google.
Tvrtka je ranije smanjila osnovne nagrade u programu bug bountyja za Chrome ranjivosti zbog utjecaja umjetne inteligencije. SecurityWeek navodi i da je taj rast vjerojatno potaknut AI alatima, ali Google još nije otkrio koje je modele ili alate koristio pri pronalaženju tih propusta. Među zakrpama u Chromeu 149 većina je ocijenjena kao kritična ili visoke ozbiljnosti, a objava dolazi uz još jedno veliko sigurnosno ažuriranje za preglednik.
Vezane vijesti
