Google a lansat o actualizare de securitate pentru browserul Chrome care remediază 74 de vulnerabilități, însă una dintre ele, identificată ca CVE-2026-11645, a fost exploatată în atacuri ca zero-day.
Compania americană a oferit o recompensă de 55.000 de dolari cercetătorului care a raportat vulnerabilitatea.
Potrivit Google, CVE-2026-11645 are severitate ridicată și este o vulnerabilitate de tip „out-of-bounds memory access” în V8, componenta care execută cod JavaScript în Chrome.
Acest tip de eroare poate permite coruperea memoriei prin accesarea unor zone din afara limitelor așteptate, și ar putea fi folosită pentru a executa cod de la distanță, a fura informații sensibile, sau pentru a produce crash-uri.
Google nu a publicat detalii tehnice suplimentare despre mecanismul de exploatare și nici indicatori de compromitere, precizând că accesul la informațiile despre buguri poate rămâne restricționat până când majoritatea utilizatorilor instalează patch-urile.
Totuși, compania spune că are cunoștință despre existența unui exploit pentru CVE-2026-11645 folosit deja în atacuri reale, ceea ce plasează vulnerabilitatea în categoria incidentelor care trebuie tratate cu prioritate.
Vulnerabilitatea a fost raportată pe 27 aprilie de un cercetător identificat ca 303f06e3, iar Google a acordat o recompensă de 55.000 de dolari pentru raportare. În aceeași actualizare, compania a inclus și numeroase alte remedieri critice și high-severity.
Având în vedere exploatarea activă, organizațiile are trebui să prioritizeze actualizarea browserului. Deoarece V8 procesează conținut web activ, expunerea la un bug exploatat activ poate apărea prin simpla accesare a unei pagini sau a unui conținut web pregătit special, chiar dacă Google nu a descris încă scenariul exact de atac.
Actualizarea aduce browserul la versiunea 149.0.7827.102/.103 pentru Windows și Mac și la 149.0.7827.102 pentru Linux.
