Google har udsendt en hasteopdatering til Chrome efter at have bekræftet, at angribere udnyttede en ny sårbarhed i aktive angreb. Fejlen, der spores som CVE-2026-11645, påvirker Chromes JavaScript-motor V8 og er den femte aktivt udnyttede Chrome-sårbarhed, som Google har rettet i år.
Virksomheden oplyser, at en exploit allerede findes i aktive angreb, men har ikke offentliggjort tekniske detaljer om hændelserne. Google begrænser ofte sådanne oplysninger, indtil størstedelen af brugerne har installeret sikkerhedsopdateringen.
Google udsender hasteopdatering til Chrome
Google har rettet sårbarheden i den stabile desktopversion af Chrome til Windows, macOS og Linux. De opdaterede versioner rulles nu ud globalt, selvom nogle brugere muligvis ikke modtager opdateringen med det samme.
Chrome installerer normalt opdateringer automatisk, men brugere kan også kontrollere manuelt. For at fuldføre opdateringen skal de åbne Chromes opdateringssektion og genstarte browseren efter installationen.
Sikkerhedsteams bør desuden sikre, at opdateringen er installeret på administrerede enheder, da angriberne allerede kender metoden til at udnytte sårbarheden.
Sårbarheden rammer V8-motoren
CVE-2026-11645 er en alvorlig out-of-bounds read/write-sårbarhed i V8, den JavaScript-motor som Chrome benytter.
Angribere kan udnytte fejlen gennem særligt udformede HTML-sider. Hvis angrebet lykkes, kan de udføre vilkårlig kode inde i browserens sandbox-miljø.
Sandboxen begrænser, hvad angribere kan foretage sig på resten af systemet. Trusselsaktører kombinerer dog ofte browsersårbarheder med andre fejl for at omgå sandbox-beskyttelsen eller opnå bredere adgang.
Årets femte Chrome-nuldagssårbarhed
Den seneste Chrome-nuldagsopdatering fortsætter et udfordrende år for browsersikkerhed. Google har nu rettet fem Chrome-sårbarheder, som er blevet udnyttet i angreb siden begyndelsen af 2026.
Tidligere fejl har påvirket komponenter som CSS, Skia, V8 og Dawn. Angribere fokuserer ofte på disse komponenter, fordi de håndterer komplekst webindhold og anvendes på millioner af systemer verden over.
Google har ikke oplyst, hvem der udnyttede CVE-2026-11645, eller hvilke brugere der blev ramt. Denne begrænsede informationsdeling er almindelig ved tidlige offentliggørelser af nuldagssårbarheder, mens opdateringerne stadig bliver distribueret.
Brugere bør opdatere med det samme
Brugere bør installere den nyeste version af Chrome hurtigst muligt. Personer, der lader browseren være åben i længere perioder, bør genstarte den for at sikre, at opdateringen aktiveres.
Organisationer bør også overvåge andre Chromium-baserede browsere og installere leverandørernes sikkerhedsopdateringer, når de bliver tilgængelige. Mange browsere bygger på Chromium-komponenter, hvilket betyder, at tilsvarende rettelser ofte følger efter Googles opdateringer.
Forsinkede opdateringer efterlader brugere sårbare over for angreb, som allerede foregår i den virkelige verden.
Konklusion
Den seneste Chrome-nuldagsopdatering retter en alvorlig sårbarhed i V8-motoren, som angribere udnyttede, før Google frigav en løsning. Da fejlen gør det muligt at udføre kode inde i browserens sandbox, bør brugere betragte opdateringen som kritisk.
Med fem rettede Chrome-nuldagssårbarheder allerede i 2026 er browseropdateringer fortsat en af de enkleste og vigtigste måder at beskytte sig mod aktive webbaserede angreb på.
0 svar til “Chrome-nuldagspatch retter aktivt udnyttet sårbarhed”