Компания Google выпустила экстренные обновления для Chrome, чтобы закрыть новую уязвимость «нулевого дня», которая уже использовалась в реальных атаках. Это пятая такая уязвимость в Chrome, исправленная с начала года.
В бюллетене безопасности компания сообщила:
Google знает, что эксплойт для CVE-2026-11645 уже существует и используется в реальных условиях.
Исправление выпущено для пользователей стабильной версии Chrome для дестопных систем. Обновления постепенно распространяются по всему миру:
Уязвимость была исправлена спустя две недели после того, как о ней сообщил анонимный исследователь безопасности.
Google предупреждает, что обновление безопасности может доходить до всех пользователей Chrome в течение нескольких дней или недель. Пользователям, которые не хотят обновлять браузер вручную, можно просто дождаться автоматической проверки Chrome: браузер сам установит обновление при следующем запуске.
Уязвимость CVE-2026-11645 получила высокий уровень серьезности. Она связана с ошибкой чтения и записи за пределами допустимой области памяти в JavaScript-движке Chrome V8. Удаленный злоумышленник может использовать специально созданные HTML-страницы, чтобы выполнить произвольный код внутри песочницы браузера.
При успешной эксплуатации атака позволяет получить доступ к данным за пределами выделенного буфера памяти через повреждение кучи. Это может привести к раскрытию конфиденциальной информации или аварийному завершению работы браузера.
Кроме доступа к памяти за пределами допустимой области, исправленная уязвимость также могла использоваться для обхода защитных механизмов, например ASLR. Это упрощало выполнение кода при наличии еще одной уязвимости.
Google подтвердждает, что знает об использовании уязвимости «нулевого дня» CVE-2026-11645 в атаках, но пока не раскрывает подробности этих инцидентов.
Компания поясняет:
Доступ к подробностям об ошибке и ссылкам может оставаться ограниченным до тех пор, пока большинство пользователей не установят исправление. Мы также сохраним ограничения, если уязвимость существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но которые еще не выпустили исправление.
С начала года Google исправил еще четыре уязвимости «нулевого дня» Chrome, которые использовались в атаках:
- CVE-2026-2441 — ошибка инвалидации итератора в CSSFontFeatureValuesMap, реализации CSS font feature values в Chrome. Исправлена в середине февраля.
- CVE-2026-3909 — ошибка записи данных за пределами памяти в графической библиотеке Skia 2D. Исправлена в марте.
- CVE-2026-3910 — некорректная реализация в движке V8 JavaScript и WebAssembly. Исправлена в марте.
- CVE-2026-5281 — уязвимость использования данных после освобождения памяти в Dawn, кроссплатформенной реализации стандарта WebGPU, используемой Chromium. Исправлена в апреле.
В прошлом году Google исправила еще восемь уязвимостей «нулевого дня» в Chrome, которые эксплуатировались в реальных атаках. Многие из них были обнаружены специалистами Google Threat Analysis Group — подразделения, которое отслеживает, в том числе, эксплойты «нулевого дня», применяемые в шпионских атаках.
Угрозы безопасности
• В Chrome исправлена уязвимость «нулевого дня», которая применялась в реальных атаках
• Уязвимость «нулевого дня» в Comodo Internet Security позволяет удалённо вызвать BSOD одним IPv6-пакетом
• Уязвимости в роутерах Acer Wave 7 позволяют получить полный контроль над устройством
• Уязвимость «нулевого дня» в VS Code позволяет похитить токены GitHub одним кликом
• Ubiquiti устранила три критические уязвимости наивысшей опасности в UniFi OS
• Google случайно раскрыла детали неисправленной уязвимости Chromium