Google har släppt en akut Chrome-nolldagspatch efter att ha bekräftat att angripare utnyttjade en ny sårbarhet i pågående attacker. Felet, som spåras som CVE-2026-11645, påverkar Chromes JavaScript-motor V8 och är den femte aktivt utnyttjade Chrome-sårbarheten som Google har åtgärdat under året.
Företaget uppger att en exploit redan används i verkliga attacker, men har inte offentliggjort några tekniska detaljer. Google begränsar ofta sådan information tills en majoritet av användarna har installerat säkerhetsuppdateringen.
Google släpper akut säkerhetsuppdatering
Google har åtgärdat sårbarheten i den stabila skrivbordsversionen av Chrome för Windows, macOS och Linux. De uppdaterade versionerna rullas ut globalt, även om vissa användare kan behöva vänta innan uppdateringen blir tillgänglig.
Chrome installerar normalt uppdateringar automatiskt, men användare kan också kontrollera manuellt. För att slutföra uppdateringen behöver de öppna Chromes uppdateringsinställningar och starta om webbläsaren efter installationen.
Säkerhetsteam bör dessutom kontrollera att alla hanterade enheter har uppdaterats eftersom angripare redan känner till hur sårbarheten kan utnyttjas.
Sårbarheten påverkar V8-motorn
CVE-2026-11645 är en allvarlig sårbarhet av typen out-of-bounds read/write i V8, JavaScript-motorn som används av Chrome.
Angripare kan utnyttja bristen genom särskilt utformade HTML-sidor. Om attacken lyckas kan angriparen köra godtycklig kod inne i webbläsarens sandlådemiljö.
Sandlådan begränsar vad en angripare kan göra på resten av systemet. Trots det kombinerar hotaktörer ofta webbläsarsårbarheter med andra säkerhetsbrister för att ta sig ut ur sandlådan eller få bredare åtkomst.
Årets femte Chrome-nolldagssårbarhet
Den senaste Chrome-nolldagspatchen fortsätter ett utmanande år för webbläsarsäkerhet. Google har nu åtgärdat fem Chrome-sårbarheter som har utnyttjats i attacker sedan början av 2026.
Tidigare sårbarheter har påverkat komponenter som CSS, Skia, V8 och Dawn. Angripare riktar ofta in sig på dessa delar eftersom de hanterar komplex webbinnehåll och används på miljontals system världen över.
Google har inte avslöjat vem som utnyttjade CVE-2026-11645 eller vilka användare som attackerades. Den typen av begränsad information är vanlig under de första faserna av en nolldagssårbarhets offentliggörande medan uppdateringar fortfarande distribueras.
Användare bör uppdatera omedelbart
Användare bör installera den senaste versionen av Chrome så snart som möjligt. Den som låter webbläsaren vara öppen under längre perioder bör starta om den för att säkerställa att uppdateringen aktiveras.
Organisationer bör också övervaka andra Chromium-baserade webbläsare och installera leverantörernas säkerhetsuppdateringar när de blir tillgängliga. Många webbläsare bygger på Chromium-komponenter, vilket innebär att liknande korrigeringar ofta följer efter Googles uppdateringar.
Den som väntar med att uppdatera riskerar att exponeras för attacker som redan används i verkligheten.
Slutsats
Den senaste Chrome-nolldagspatchen åtgärdar en allvarlig sårbarhet i V8-motorn som angripare hann utnyttja innan Google släppte en korrigering. Eftersom bristen möjliggör kodkörning i webbläsarens sandlåda bör användare behandla uppdateringen som högprioriterad.
Med fem åtgärdade Chrome-nolldagssårbarheter redan under 2026 fortsätter webbläsaruppdateringar att vara ett av de enklaste och viktigaste skydden mot aktiva webbaserade attacker.
0 svar till ”Chrome-nolldagspatch åtgärdar aktivt utnyttjad sårbarhet”