Google випустила оновлення безпеки для Chrome, яке усуває 74 вразливості, зокрема критично небезпечну CVE-2026-11645 (CVSS 8.8) у JavaScript-рушії V8, яка вже експлуатується зловмисниками. Вразливість дає змогу віддаленому зловмиснику виконати довільний код усередині пісочниці браузера через спеціально сформовану HTML-сторінку. Усі користувачі Chrome і браузерів на базі Chromium мають негайно оновитися до версії 149.0.7827.102/.103.
Технічний аналіз CVE-2026-11645
Згідно з описом у базі NVD, вразливість є помилкою виходу за межі пам’яті (out-of-bounds read and write) у V8 — рушії JavaScript і WebAssembly, який використовується в Google Chrome. Дефект зачіпає всі версії Chrome до 149.0.7827.103.
Вектор атаки — мережевий: для експлуатації достатньо змусити жертву відкрити шкідливу HTML-сторінку. Це може бути реалізовано через фішингове посилання, зловмисну рекламу або компрометацію легітимного веб-ресурсу. Помилки типу out-of-bounds read/write у V8 особливо небезпечні, оскільки рушій обробляє JavaScript-код на кожній відвідуваній сторінці, а можливість одночасного читання й запису за межами виділеного буфера відкриває шлях до повноцінного виконання довільного коду.
Важливо враховувати, що, хоча NVD вказує на виконання коду «усередині пісочниці» (inside a sandbox), це не означає повної безпеки. Пісочниця Chrome — серйозний бар’єр, однак у зв’язці з додатковою вразливістю для виходу з пісочниці (sandbox escape) зловмисник може отримати повний контроль над системою. Google, як зазначено в офіційному бюлетені безпеки, підтвердила існування експлойта у дикому середовищі, але утрималася від публікації деталей до масового оновлення користувачів.
Вразливість була виявлена дослідником під псевдонімом «303f06e3» і, за даними Google, повідомлена 27 квітня 2026 року. За відповідальне розкриття дослідник, як повідомляється, отримав винагороду в розмірі $55 000 — сума, що відображає критичність знахідки та факт активної експлуатації.
П’ята zero-day вразливість Chrome у 2026 році
CVE-2026-11645 стала п’ятою вразливістю нульового дня в Chrome, усунутою Google з початку 2026 року. Раніше були виправлені:
Така динаміка — п’ять експлуатованих zero-day вразливостей за перше півріччя — вказує на стійкий інтерес зловмисників до вразливостей у браузерах як вектора початкового доступу. Рушій V8 залишається пріоритетною ціллю: його складна архітектура JIT-компіляції створює широку поверхню атаки, а повсюдне поширення Chrome робить кожну таку вразливість потенційно масовою.
Оцінка впливу
Масштаб загрози визначається домінівною часткою Chrome на ринку браузерів. Під загрозою перебувають не лише користувачі Chrome, а й усі, хто працює з браузерами на базі Chromium: Microsoft Edge, Brave, Opera, Vivaldi та інші. Для цих браузерів відповідні патчі можуть бути випущені із затримкою, що створює вікно вразливості.
Найбільшому ризику піддаються корпоративні середовища, де оновлення браузерів може затримуватися через політики керування конфігураціями, а також користувачі, які не ввімкнули автоматичне оновлення. З огляду на те, що для експлуатації достатньо переходу за посиланням, вразливість ідеально підходить для цільових фішингових атак на співробітників організацій.
Рекомендації щодо усунення
Оновлення слід застосувати негайно — експлуатацію вже підтверджено. Цільові версії:
- Windows і macOS: Chrome 149.0.7827.102 або 149.0.7827.103
- Linux: Chrome 149.0.7827.102
Для перевірки та оновлення: відкрийте меню Chrome → Довідка → Про браузер Google Chrome. Браузер автоматично завантажить оновлення, після чого знадобиться перезапуск. У корпоративних середовищах рекомендується примусово розповсюдити оновлення через системи керування конфігураціями та тимчасово обмежити доступ до зовнішніх веб-ресурсів для систем, де оновлення неможливо оперативно застосувати.
Користувачам браузерів на базі Chromium слід відстежувати вихід оновлень від відповідних вендорів і застосовувати їх відразу після появи.
З огляду на підтверджену активну експлуатацію CVE-2026-11645 і тривіальний вектор атаки через шкідливу веб-сторінку, оновлення Chrome до версії 149.0.7827.102/.103 має бути виконане протягом найближчих годин, а не днів. Для організацій, які керують парком робочих станцій, пріоритет цього патча — максимальний: перевірте охоплення оновлення через консоль керування та переконайтеся, що жодна система не лишилася на вразливій версії.
