Wyobraź sobie, że aby zainfekować Twój komputer, haker nie musi już podrzucać Ci podejrzanych linków ani zmuszać do pobierania załączników. Wystarczy, że wejdziesz na zwykłą, odpowiednio przygotowaną stronę internetową, a Twoja przeglądarka sama otworzy przed nim drzwi. To smutna rzeczywistość. Google właśnie wydało pilną aktualizację Chrome, która łata potężną dziurę bezpieczeństwa. Nie zwlekaj więc z aktualizacją.
Techniczne aspekty luki CVE-2026-11645 i zagrożenia z tym związane
Wykryta podatność dotyczy bezpośrednio silnika JavaScript V8, a więc kluczowego komponentu Chrome odpowiedzialnego za przetwarzanie kodu na stronach internetowych. Problem polega na błędzie typu out-of-bounds read and write, który umożliwia nieautoryzowany odczyt i zapis danych w pamięci podręcznej przeglądarki. W normalnych warunkach każda uruchomiona karta działa w odizolowanym środowisku – tzw. piaskownicy (sandbox). To zabezpieczenie gwarantuje, że procesy przeglądarki nie mają dostępu do plików systemowych komputera.
Nowo odkryty błąd pozwala jednak napastnikom na całkowite przełamanie tej bariery. Jeśli użytkownik odwiedzi specjalnie spreparowaną stronę HTML, złośliwy kod może wyjść poza piaskownicę i uruchomić dowolne procesy bezpośrednio w systemie operacyjnym ofiary. Taki scenariusz pozwala hakerom na kradzież plików cookie, zapisanych haseł, tokenów sesyjnych oraz instalację złośliwego oprogramowania. Luka miała status zero-day – przestępcy zdążyli przeprowadzić serię ataków przed opublikowaniem oficjalnej poprawki,. To stwarzało ogromne zagrożenie dla poufności danych użytkowników.
Algorytmy zamiast ludzi. Nowa strategia Google w walce z lukami w Chrome
Omawiany incydent to już piąta załatana w tym roku podatność zero-day w Chrome. To pokazuje ogromną intensywność działań ze strony cyberprzestępców. Jednocześnie w ostatnich miesiącach wewnętrzne systemy Google wykryły setki innych, mniejszych błędów w architekturze Chromium. Eksperci ds. bezpieczeństwa wskazują, że tak wysoka skuteczność w lokalizowaniu podatności to efekt masowego wdrożenia modeli sztucznej inteligencji do automatycznego testowania kodu źródłowego.
Ta technologiczna zmiana wpłynęła bezpośrednio na rynek niezależnych badaczy (tzw. white hat hackers). Google zdecydowało się na obniżenie podstawowych stawek finansowych w programie bug bounty Chrome za standardowe zgłoszenia. To odpowiedź na plagę raportów generowanych przez sztuczną inteligencję. Gigant zamiast „lania wody” żąda teraz konkretnych dowodów technicznych. Mimo tych cięć, za poważniejsze odkrycia wciąż płaci się fortunę. Anonimowy ekspert, który pod koniec kwietnia dostarczył kompletne materiały na temat luki CVE-2026-11645, otrzymał nagrodę w wysokości kilkudziesięciu tysięcy dolarów.
Google wdrożyło już stabilne wersje przeglądarki dla systemów Windows, macOS oraz Linux. Aby zabezpieczyć swoje urządzenie, należy wejść w menu pomocy Chrome i ręcznie wywołać proces instalacji najnowszych pakietów bezpieczeństwa.
Źródło: SecurityWeek, The Hacker News