Стежити 
Google випустила екстрені оновлення для Chrome, щоб усунути уразливість нульового дня в Chrome, високий рівень небезпеки поза межами читання/запису в механізмі V8 JavaScript. Google заявляє, що існує експлуатація в дикій природі, і виправлені стабільні збірки поширюються як 149.0.7827.102.103 для Windows і Mac and 149.0.7827.102 для Linux.
Загальнодоступні звіти стверджують, що вразливість може ініціюватися через спеціально створену HTML-сторінку і може дозволити віддаленому зловмиснику виконувати довільний код всередині пісочниці браузера. SecurityWeek додає, що ця помилка є п’ятою уразливістю нульового дня Chrome, використаною в 2026 році, після CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 і CVE-2026-5281.
Найважливіші деталі для CVE-2026-11645 все ще обмежені, оскільки Google обмежила інформацію про помилку, поки оновлення поширюються. Компанія заявляє, що вразливість була повідомлена в кінці квітня 2026 року анонімним дослідником, і SecurityWeek повідомляє, що дослідник отримав винагороду в розмірі $55,000. винагороду.
Аналіз CVE-2026-11645
For Аналіз CVE-2026-11645, підтверджений публічний опис залишається обмеженим: Google вказує цю проблему як «поза межами доступу до пам’яті в V8», в той час як BleepingComputer і SecurityWeek описують це як вразливість читання/запису поза межами. На практиці це означає, що зловмисний веб-контент може розширити двигун за межі передбачених границь пам’яті, що може призвести до розголошення конфіденційних даних, аварійного завершення роботи браузера або створення шляху до виконання коду в пісочниці.
З точки зору підданості CVE-2026-11645 впливає на користувачів Chrome для настільних ПК, які ще не перейшли на виправлену версію 149. BleepingComputer зазначає, що успішна експлуатація може призвести до пошкодження купи та несанкціонованого доступу за межами передбаченого буфера пам’яті, і також каже, що ця уразливість може допомогти зловмисникам обійти такі захисти, як ASLR, потенційно спрощуючи використання другої вразливості.
На момент написання статті немає публічної CVE-2026-11645 PoC у зазначених джерелах, і Google не розкрила технічні деталі експлуатації або відомості про жертв. SecurityWeek зазначає, що інформації про атаки немає, хоча сказано, що в реальних операціях швидше за все поєдналася з вразливістю втечі з пісочниці.
Пом’якшення CVE-2026-11645
Безпосереднім кроком щодо пом’якшення CVE-2026-11645 є оновлення Chrome до виправлених стабільних версій, випущених Google 8 червня 2026 року. Користувачі, які не оновлюють вручну, зазвичай отримують виправлення автоматично при наступному перезапуску браузера, але Google зазначає, що розгортання може зайняти дні або тижні, щоб повністю досягти всіх користувачів.
Для захисників, виявлення of CVE-2026-11645 обмежено, оскільки Google навмисно утримала глибшу технічну інформацію, і немає опублікованих IOC, пов’язаних з експлуатацією CVE-2026-11645 у цитованих звітах. На практиці команди повинні виявляти CVE-2026-11645 шляхом ідентифікації некерованих або застарілих установок Chrome, пріоритизації груп користувачів високого ризику та підтвердження, що корпоративні флоти досягли виправлених збірок 149.
FAQ
Що таке CVE-2026-11645 і як це працює?
CVE-2026-11645 є вразливістю високого рівня небезпеки в системі безпеки пам’яті V8 Chrome. Google описує його як доступ до пам’яті поза межами в V8, і громадські повідомлення вказують на те, що віддалений зловмисник може використовувати спеціально створену HTML-сторінку, щоб активувати помилку і потенційно виконувати код всередині пісочниці браузера.
Коли CVE-2026-11645 вперше було виявлено?
Загальнодоступні джерела не надають дати приватного виявлення, але консультативна документація Google та SecurityWeek кажуть, що проблема була повідомлена в кінці квітня 2026 року анонімним дослідником. Google оголосила про виправлення 8 червня 2026 року, а потім з’явилось медіа-покриття 9 червня 2026 року.
Який вплив CVE-2026-11645 на системи?
Основний вплив полягає в корупції пам’яті у процесі браузера. Загальнодоступні звіти зазначають, що експлуатація може вплинути на пам’ять поза межами передбачуваного буфера, викликати аварійні завершення роботи та потенційно підтримувати виконання довільного коду всередині пісочниці Chrome.
Чи може CVE-2026-11645 вплинути на мене в 2026 році?
Так. Системи можуть залишатися під загрозою в 2026 році, якщо вони продовжать працювати на незахищених збірках Chrome для настільних ПК, і користувачі відвідають зловмисний веб-контент до застосування оновлення. Google чітко заявляє, що експлуатація існує в дикій природі.
Як я можу захистити себе від CVE-2026-11645?
Оновіть Chrome негайно до останньої стабільної збірки, перезапустіть браузер, щоб забезпечити застосування виправлення, та перевірте, що керовані точки не працюють на старіших версіях. Оскільки Google обмежила технічні подробиці, швидке застосування виправлень є найнадійнішим захистом.
