Segui 
Google ha rilasciato aggiornamenti di emergenza per Chrome per risolvere una vulnerabilità zero-day di Chrome, un problema di alta gravità di lettura/scrittura fuori dai limiti nel motore JavaScript V8. Google afferma che un exploit esiste allo stato selvatico, e le versioni Stable patchate stanno venendo distribuite come 149.0.7827.102.103 per Windows e Mac and 149.0.7827.102 per Linux.
Le segnalazioni pubbliche affermano che il difetto può essere attivato attraverso una pagina HTML appositamente creata e potrebbe consentire a un attaccante remoto di eseguire codice arbitrario all’interno del sandbox del browser. SecurityWeek aggiunge che il bug è il quinto zero-day di Chrome sfruttato nel 2026, dopo CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 e CVE-2026-5281.
Le più importanti informazioni per CVE-2026-11645 sono ancora limitate perché Google ha limitato i dettagli sui bug mentre gli aggiornamenti si propagano. L’azienda dice che la vulnerabilità è stata segnalata a fine aprile 2026 da un ricercatore anonimo, e SecurityWeek riporta che il ricercatore ha ricevuto un premio di $55,000 .
Analisi di CVE-2026-11645
For Analisi di CVE-2026-11645, la descrizione pubblica confermata rimane stretta: Google elenca il problema come “accesso alla memoria fuori dai limiti in V8,” mentre BleepingComputer e SecurityWeek lo descrivono come un difetto di lettura/scrittura fuori dai limiti. In termini pratici, ciò significa che il contenuto web dannoso può spingere il motore oltre i limiti di memoria previsti, il che può esporre dati sensibili, far crashare il browser o creare una via per l’esecuzione di codice all’interno del sandbox.
Da un punto di vista dell’esposizione, CVE-2026-11645 colpisce gli utenti desktop di Chrome che non sono ancora passati alla versione patchata 149. BleepingComputer nota che un exploit di successo può portare a corruzione dell’heap e accesso non autorizzato oltre il buffer di memoria previsto, e dice anche che il difetto potrebbe aiutare gli attaccanti a bypassare protezioni come ASLR, potenzialmente rendendo più facile il weaponize di una seconda vulnerabilità.
Al momento della scrittura, non esiste un PoC di CVE-2026-11645 nelle fonti citate, e Google non ha divulgato dettagli tecnici sull’exploit o sulla vittimologia. SecurityWeek osserva che non sono disponibili informazioni sugli attacchi, anche se dice che lo zero-day probabilmente è stato accoppiato con un difetto di fuga dal sandbox in operazioni reali.
Mitigazione di CVE-2026-11645
Il passo immediato di mitigazione di CVE-2026-11645 è aggiornare Chrome alle versioni Stable patchate che Google ha rilasciato l’8 giugno 2026. Gli utenti che non aggiornano manualmente riceveranno generalmente la correzione automaticamente al prossimo rilancio del browser, ma Google afferma che il rilascio può richiedere giorni o settimane per raggiungere completamente tutti gli utenti.
Per i difensori, la rilevazione of di CVE-2026-11645 è limitata perché Google ha intenzionalmente trattenuto informazioni tecniche più approfondite, e non ci sono IOC pubblicati relativi allo sfruttamento di di CVE-2026-11645 nelle segnalazioni citate. In pratica, i team dovrebbero rilevare l’esposizione a CVE-2026-11645 identificando installazioni di Chrome non gestite o obsolete, dando priorità a gruppi di utenti ad alto rischio e confermando che le flotte aziendali hanno raggiunto le build 149 corrette.
FAQ
Cos’è CVE-2026-11645 e come funziona?
CVE-2026-11645 è un difetto di sicurezza della memoria V8 in Chrome di alta gravità. Google lo descrive come accesso alla memoria fuori dai limiti in V8, e le segnalazioni pubbliche affermano che un attaccante remoto può usare una pagina HTML appositamente creata per attivare il bug e potenzialmente eseguire codice all’interno del sandbox del browser.
Quando è stato scoperto per la prima volta CVE-2026-11645?
Le fonti pubbliche non forniscono una data di scoperta privata, ma l’avviso di Google e SecurityWeek dicono che il problema è stato segnalato a fine aprile 2026 da un ricercatore anonimo. Google ha annunciato la correzione l’8 giugno 2026, e la copertura mediatica è seguita il 9 giugno 2026.
Qual è l’impatto di CVE-2026-11645 sui sistemi?
L’impatto principale è la corruzione della memoria nel processo del browser. Le segnalazioni pubbliche dicono che lo sfruttamento può esporre la memoria al di fuori del buffer previsto, causare crash e potenzialmente supportare l’esecuzione di codice arbitrario all’interno del sandbox di Chrome.
CVE-2026-11645 può ancora colpirmi nel 2026?
Sì. I sistemi possono ancora essere esposti nel 2026 se continuano a eseguire build desktop di Chrome non patchate e gli utenti visitano contenuti web dannosi prima che l’aggiornamento sia applicato. Google afferma esplicitamente che un exploit esiste allo stato selvatico.
Come posso proteggermi da CVE-2026-11645?
Aggiorna immediatamente Chrome all’ultima build Stable, riavvia il browser per assicurarti che la patch sia applicata e verifica che gli endpoint gestiti non stiano più eseguendo versioni più vecchie. Poiché Google ha limitato i dettagli tecnici, una rapida patch è la difesa più affidabile.
