Google har lansert en hasteoppdatering for Chrome etter å ha bekreftet at angripere utnyttet en ny sårbarhet i aktive angrep. Feilen, som spores som CVE-2026-11645, påvirker Chromes JavaScript-motor V8 og er den femte aktivt utnyttede Chrome-sårbarheten Google har rettet så langt i år.
Selskapet opplyser at en fungerende exploit allerede er i omløp, men har ikke offentliggjort tekniske detaljer om angrepene. Google begrenser ofte slik informasjon til de fleste brukerne har installert sikkerhetsoppdateringen.
Google lanserer hasteoppdatering
Google har rettet sårbarheten i den stabile skrivebordsversjonen av Chrome for Windows, macOS og Linux. De oppdaterte versjonene rulles nå ut globalt, selv om enkelte brukere kanskje ikke mottar oppdateringen umiddelbart.
Chrome installerer vanligvis oppdateringer automatisk, men brukere kan også kontrollere manuelt. For å fullføre oppdateringen må de åpne Chromes oppdateringsseksjon og starte nettleseren på nytt etter installasjonen.
Sikkerhetsteam bør også bekrefte at oppdateringen er installert på administrerte enheter, siden angriperne allerede kjenner til hvordan sårbarheten kan utnyttes.
Sårbarheten rammer V8-motoren
CVE-2026-11645 er en alvorlig out-of-bounds read/write-sårbarhet i V8, JavaScript-motoren som brukes av Chrome.
Angripere kan utnytte feilen gjennom spesialutformede HTML-sider. Dersom angrepet lykkes, kan angriperen kjøre vilkårlig kode inne i nettleserens sandkassemiljø.
Sandkassen begrenser hva angriperen kan gjøre på resten av systemet. Likevel kombinerer trusselaktører ofte nettlesersårbarheter med andre svakheter for å bryte ut av sandkassen eller oppnå bredere tilgang.
Årets femte Chrome-nulldagssårbarhet
Den nyeste Chrome-nulldagspatchen fortsetter et krevende år for nettlesersikkerhet. Google har nå rettet fem Chrome-sårbarheter som har blitt utnyttet i angrep siden starten av 2026.
Tidligere sårbarheter har påvirket komponenter som CSS, Skia, V8 og Dawn. Angripere retter seg ofte mot disse komponentene fordi de håndterer komplekst nettinnhold og brukes på millioner av systemer verden over.
Google har ikke opplyst hvem som utnyttet CVE-2026-11645 eller hvilke brukere som ble rammet. Slike begrensede opplysninger er vanlige i de tidlige fasene av en nulldagsoffentliggjøring mens oppdateringene fortsatt rulles ut.
Brukere bør oppdatere umiddelbart
Brukere bør installere den nyeste Chrome-versjonen så raskt som mulig. De som lar nettleseren være åpen over lengre tid, bør starte den på nytt for å sikre at oppdateringen blir aktivert.
Organisasjoner bør også overvåke andre Chromium-baserte nettlesere og installere leverandørenes sikkerhetsoppdateringer når de blir tilgjengelige. Mange nettlesere er bygget på Chromium-komponenter, noe som betyr at tilsvarende rettelser ofte følger etter Googles oppdateringer.
Å utsette oppdateringer kan etterlate brukere sårbare for angrep som allerede skjer i den virkelige verden.
Konklusjon
Den nyeste Chrome-nulldagspatchen retter en alvorlig sårbarhet i V8-motoren som angripere utnyttet før Google publiserte en løsning. Siden feilen muliggjør kodekjøring inne i nettleserens sandkasse, bør brukere behandle oppdateringen som svært viktig.
Med fem rettede Chrome-nulldagssårbarheter allerede i 2026 er nettleseroppdateringer fortsatt et av de enkleste og viktigste forsvarene mot aktive nettbaserte angrep.
0 responses to “Chrome-nulldagspatch retter aktivt utnyttet sårbarhet”