Foto: BleepingComputer
Google je objavio hitna ažuriranja za Chrome kako bi zakrpao novu zero-day ranjivost koja se iskorištava u stvarnim napadima. Riječ je o petoj takvoj ranjivosti koju je tvrtka zakrpala od početka godine, a Google je u sigurnosnom upozorenju naveo da je svjestan postojanja exploita za CVE-2026-11645 u divljini.
Zakrpane verzije stižu za Chrome Stable Desktop kanal, i to za Windows 149.0.7827.102, Mac 149.0.7827.103 i Linux 149.0.7827.102. Ranije je neimenovani sigurnosni istraživač prijavio ranjivost Googleu prije dva tjedna. Google navodi i da ažuriranje može trebati dane ili tjedne da stigne do svih korisnika Chromea, iako je bilo dostupno odmah pri provjeri ažuriranja koju je napravio BleepingComputer.
Ranjivost visoke težine, označena kao CVE-2026-11645, proizlazi iz out-of-bounds read i write slabosti u Chromeovu V8 JavaScript engineu. Napadači je mogu iskoristiti preko posebno pripremljenih HTML stranica za izvršavanje proizvoljnog koda unutar sandboxa preglednika. Prema opisu ranjivosti, uspješno iskorištavanje može omogućiti pristup podacima izvan memorijskog međuspremnika zbog heap corruptiona, što može izložiti osjetljive informacije ili izazvati pad rada preglednika.
Google navodi i da se pristup detaljima o pogrešci i poveznicama može zadržati ograničenim dok većina korisnika ne bude ažurirana. Tvrtka pritom kaže da će ograničenja ostati na snazi i ako se bug nalazi u biblioteci treće strane o kojoj ovise i drugi projekti, a koja još nije popravljena. Osim toga, Google je ranije rekao da je bio upoznat s eksploatacijama za CVE-2024-0519 koje su korištene u napadima, ali nije objavio dodatne pojedinosti o tim incidentima.
Od početka godine Google je zakrpao još četiri zero-day ranjivosti za koje je navedeno da su iskorištavane u napadima, a prošle je godine popravio još osam takvih ranjivosti. Mnoge od njih prijavila je ili pratila Googleova Threat Analysis Group, tim poznat po otkrivanju i praćenju zero-day eksploata koji se koriste u špijunskim napadima.
Vezane vijesti
