Googlen hätäpäivitys: Chrome-selaimen viides nollapäivähaavoittuvuus vuonna 2026

Haavoittuvuuden CVSS-arvosanaksi on määritelty 8,8, mikä asettaa sen vakavuusluokkaan "korkea" . Onnistunut hyökkäys tarkoittaa, että hyökkääjä voi ajaa koodia uhrin koneella selainprosessin käyttöoikeuksin. Tämä riittää yleensä haittaohjelmien asentamiseen, tietojen varastamiseen tai uusien hyökkäysten ketjuttamiseen. Vaikka Googlen kuvaus puhuu "mielivaltaisen koodin suorittamisesta hiekkalaatikon sisällä", tällaiset muistin rajojen ylittämisen mahdollistavat tekniikat (read/write-primitiivit) ovat käytännöllisiä työkaluja myös kehittyneimmissä hyökkäyksissä, joilla kierretään esimerkiksi ASLR-suojauksia .

Korjauksen yksityiskohdat

Hätäkorjaus julkaistiin työpöytäversion Stable-kanavan kautta 8. kesäkuuta 2026 osana laajempaa päivitystä, joka paikkaa yhteensä 74 haavoittuvuutta . Google vahvisti, että haavoittuvuuteen CVE-2026-11645 on olemassa toimiva hyväksikäyttömenetelmä, joten päivitys on ehdottoman tärkeä kaikille Chromen työpöytäkäyttäjille .

Korjatut versiot ovat:

• Windows ja macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Kuten Chromen päivitykset yleensä, korjaus leviää käyttäjille asteittain, mutta voit käynnistää päivityksen heti valitsemalla Chrome-valikko > Ohje > Tietoja Google Chromesta.

Löytöpalkkio ja raportointi

Nimimerkkiä "303f06e3" käyttävä anonyymi tietoturvatutkija löysi ja raportoi haavoittuvuuden Googlelle 27. huhtikuuta 2026 . Google maksoi löydöstä 55 000 dollarin palkkion, mikä on linjassa Chromen haavoittuvuuspalkkio-ohjelman korkeiden palkkioiden kanssa kriittisille V8-muistivirheille . Palkkion suuruus mainitaan Googlen julkaisutiedotteessa, vaikka yhtiö ei yleensä erittele palkkioita jokaisen yksittäisen haavoittuvuuden osalta .

Vuosi 2026: kiihtyvä nollapäiväaalto

CVE-2026-11645:n myötä Chrome on saanut tänä vuonna jo viisi korjausta aktiivisesti hyödynnettyihin nollapäivähaavoittuvuuksiin . Jo ennen kesäkuuta listalla oli neljä muuta:

• CVE-2026-2441 (helmikuu 2026): Use-after-free -haavoittuvuus Chromen CSS-käsittelyssä. Mahdollisti koodin etäsuorituksen hiekkalaatikossa erikoislaaditun verkkosivun kautta .
• CVE-2026-3909 (12. maaliskuuta 2026): Rajojen ylittävä kirjoitusvirhe Skia-kirjastossa, Chromen 2D-grafiikan selkärangassa .
• CVE-2026-3910 (12. maaliskuuta 2026): Virheellinen toteutus V8-moottorissa. Paikattiin samassa yhteydessä CVE-2026-3909:n kanssa .
• CVE-2026-5281 (1. huhtikuuta 2026): Use-after-free -virhe Dawn-komponentissa, Chromen WebGPU-toteutuksessa. Yhdysvaltain kyberturvallisuusvirasto CISA lisäsi sen tunnettujen hyödynnettyjen haavoittuvuuksien luetteloonsa .

Kaikki viisi haavoittuvuutta ehdittiin todistaa käytetyiksi tosielämän hyökkäyksissä ennen korjausten julkaisua. Tämä tahti ennakoi, että vuosi 2026 tulee ylittämään aiempien vuosien Chromen nollapäivälöytöjen määrän. Joka kuukausi paljastetaan yhä useammin vähintään yksi aktiivisesti hyödynnetty aukko, mikä luo jatkuvaa painetta IT-tiimien päivityssykleille .

Mitä sinun tulee tehdä

Chrome päivittyy yleensä automaattisesti, mutta päivityksen leviäminen voi kestää päiviä. Välittömän suojan saamiseksi toimi näin:

1. Avaa Chrome.
2. Mene oikean yläkulman kolmen pisteen valikkoon.
3. Valitse Ohje > Tietoja Google Chromesta.
4. Selain tarkistaa päivitykset ja asentaa ne automaattisesti.

Versionumeron tulisi olla vähintään 149.0.7827.102 (Windows, Linux) tai 149.0.7827.103 (macOS) . Organisaatioiden, jotka hallinnoivat Chrome-asennuksia, on syytä varmistaa, että kaikki koneet vastaanottavat uusimman version mahdollisimman nopeasti. Koska haavoittuvuuden hyväksikäyttö on varmistettua, mikä tahansa vanhempaa selaimentä käyttävä kone on vaarassa.