A Google sürgősségi biztonsági frissítést adott ki a Chrome böngészőhöz egy aktívan kihasznált nulladik napi (zero-day) sérülékenység miatt.
A hiba:
CVE-2026-11645
és már az ötödik olyan Chrome sérülékenység 2026-ban, amelyet a támadók a javítás megjelenése előtt kihasználtak.
Rövid összefoglaló
| Adat | Érték |
|---|---|
| CVE | CVE-2026-11645 |
| Súlyosság | High |
| Érintett komponens | V8 JavaScript Engine |
| Támadási mód | Rosszindulatú weboldal |
| Felhasználói interakció | Egy weboldal megnyitása elegendő lehet |
| Állapot | Aktívan kihasznált |
| Javítás | Elérhető |
Mi a V8?
A V8 a Chrome egyik legfontosabb komponense.
Feladata:
- JavaScript futtatása
- WebAssembly (WASM) kezelése
- modern webalkalmazások működtetése
A V8 gyakorlatilag minden meglátogatott weboldalon aktív.
Mi a sérülékenység?
A CVE-2026-11645 egy:
Out-of-Bounds Read / Write
típusú memóriahiba.
Ez azt jelenti, hogy a böngésző:
- a lefoglalt memóriaterületen kívül olvashat,
- illetve oda írhat adatokat.
Ez különösen veszélyes, mert:
✅ memóriaszivárgást okozhat
✅ összeomlaszthatja a böngészőt
✅ lehetőséget adhat további exploitoknak
✅ más sérülékenységekkel láncolva távoli kódfuttatást eredményezhet
Hogyan támadható?
A Google szerint a támadó:
- speciálisan kialakított HTML oldalt készít,
- amely JavaScripten keresztül kihasználja a hibát.
A felhasználónak akár csak:
➡️ meg kell nyitnia a weboldalt
és a sérülékenység aktiválódhat.
Lehetséges következmények
Sikeres kihasználás esetén:
- memória tartalmak olvasása
- érzékeny információk kiszivárgása
- heap memória sérülése
- ASLR védelem megkerülése
- böngésző összeomlása
- további exploit láncok előkészítése
A modern támadásoknál gyakori, hogy a böngészős sérülékenységet:
- memóriahiba
- sandbox escape
- helyi jogosultságkiterjesztés
kombinációban használják.
Miért kevés az információ?
A Google szándékosan nem tett közzé részletes technikai adatokat.
Ennek oka:
- a sérülékenységet jelenleg is használják,
- a részletes PoC publikálása további támadókat segítene.
Ez a Chrome nulladik napi javításoknál megszokott gyakorlat.
Javított verziók
Windows és macOS
- Chrome 149.0.7827.102
- Chrome 149.0.7827.103
Linux
- Chrome 149.0.7827.102
Hogyan ellenőrizhető?
Chrome:
Menü → Súgó → A Google Chrome névjegye
vagy
chrome://settings/helpA böngésző automatikusan ellenőrzi a frissítést.
Miért fontos?
A böngészők ma már:
- vállalati alkalmazásokhoz
- banki rendszerekhez
- Microsoft 365-höz
- Google Workspace-höz
- felhőszolgáltatásokhoz
jelentenek belépési pontot.
Ezért a böngésző sérülékenységek a legértékesebb célpontok közé tartoznak.
A 2026-os Chrome zero-day lista eddig
| CVE | Hónap |
|---|---|
| CVE-2026-2441 | Február |
| CVE-2026-3909 | Március |
| CVE-2026-3910 | Március |
| CVE-2026-5281 | Április |
| CVE-2026-11645 | Június |
Öt aktívan kihasznált Chrome zero-day fél év alatt.
Mit tegyenek a szervezetek?
Azonnal
✅ Chrome frissítés
✅ Chromium-alapú böngészők ellenőrzése
- Microsoft Edge
- Brave
- Opera
- Vivaldi
frissítéseinek figyelése.
Vállalati környezetben
✅ Böngészőverziók auditálása
✅ Központi patch management
✅ EDR figyelés böngészőfolyamatokra
✅ Ismeretlen weboldalak korlátozása
Miért látszik egyre több ilyen sérülékenység?
A böngészők több tízmillió sor kódból állnak.
A legtöbb Chrome zero-day továbbra is:
- Use-After-Free
- Out-of-Bounds
- Memory Corruption
kategóriájú.
Ezért a Google, a Microsoft és más gyártók egyre több komponenst írnak át memória-biztonságos nyelvekre, például:
Rust
A cél a memóriahibák számának jelentős csökkentése a következő években.
