CVE-2026-11645: פירצת האפס החמישית של כרום לשנת 2026 – מה זה אומר עבורך

לפגיעות ציון חומרה CVSS של 8.8, מה שמציב אותה בקטגוריית "סיכון גבוה" . עבור המשתמש, מתקפה מוצלחת משמעה שתוקף יכול להריץ קוד על המערכת שלו ברמת ההרשאות של תהליך הדפדפן – בדרך כלל מספיק כדי להתקין נוזקות, לגנוב מידע, או להתקדם לניצול פרצות נוספות. בעוד שההצהרה הרשמית של גוגל משתמשת בניסוח הסטנדרטי שהבאג "איפשר לתוקף מרוחק להריץ קוד שרירותי בתוך ארגז חול", טבעו של מנגנון קריאה/כתיבה מחוץ לתחום הופך טכניקות כמו עקיפת ASLR (מנגנון אבטחה שמקשה על ניצול פרצות זיכרון) לפרקטיות עבור תוקפים המחפשים להעמיק את אחיזתם במערכת .

פרטי התיקון ולוח הזמנים

תיקון החירום הופץ בערוץ ה-Stable לדסקטופ ב-8 ביוני 2026, כחלק מעדכון רחב יותר שתיקן 74 פגיעויות אבטחה במכה אחת . גוגל אישרה כי "קיים בעולם" ניצול (exploit) עבור CVE-2026-11645, מה שהופך את העדכון לדחוף והכרחי עבור כל מי שמריץ כרום על מחשב שולחני .

הגרסאות המתוקנות הן:

• ווינדוס ו-macOS: כרום 149.0.7827.102 / 149.0.7827.103
• לינוקס: כרום 149.0.7827.102

כמקובל בעדכוני Stable של כרום, התיקון מופץ בהדרגה לאורך ימים ושבועות, אם כי משתמשים יכולים להפעיל את העדכון באופן ידני דרך תפריט כרום > עזרה > אודות Google Chrome.

פרס על איתור באגים ודיווח

חוקר אבטחה אנונימי תחת הכינוי "303f06e3" גילה ודיווח על הפגיעות לגוגל ב-27 באפריל 2026 . גוגל העניקה פרס בסך 55,000 דולר עבור הגילוי, בהתאם למדרגות התגמול של תוכנית התגמולים על פגיעויות בכרום עבור באגי שחיתות זיכרון בעלי השפעה גבוהה ב-V8 . בעוד שהפוסט הרשמי בבלוג Chrome Releases למחזור זה כולל את סכום הפרס, החברה בדרך כלל אינה מפרטת את הסכומים עבור כל פגיעות בנפרד בייעוצי האבטחה שלה .

התמונה הרחבה: ימי האפס של כרום ב-2026

עם CVE-2026-11645, כרום ראה כעת חמש פירצות אפס שנוצלו באופן פעיל ותוקנו במהלך שנת 2026 בלבד . הרשימה המלאה עד יוני מראה על קצב מואץ של ניצולי דפדפן בעולם האמיתי:

• CVE-2026-2441 (פברואר 2026): באג מסוג use-after-free בעיבוד CSS של כרום שאפשר הרצת קוד מרחוק בתוך ארגז החול באמצעות דפי HTML זדוניים .
• CVE-2026-3909 (12 במרץ 2026): פגיעות כתיבה מחוץ לתחום ב-Skia, ספריית הגרפיקה הדו-ממדית שעליה מבוסס מנגנון התצוגה של כרום .
• CVE-2026-3910 (12 במרץ 2026): באג במימוש בלתי הולם ב-V8 שאפשר הרצת קוד שרירותי בתוך ארגז החול של הדפדפן. תוקן באותו העדכון עם CVE-2026-3909 .
• CVE-2026-5281 (1 באפריל, 2026): באג use-after-free ב-Dawn, מימוש ה-WebGPU חוצה-הפלטפורמות של כרום. סוכנות אבטחת הסייבר של ארה"ב (CISA) הוסיפה אותו לקטלוג הפגיעויות המנוצלות הידועות שלה, עם דד-ליין לתיקון עבור סוכנויות פדרליות .
• CVE-2026-11645 (יוני 2026): פירצת האפס של קריאה/כתיבה מחוץ לתחום ב-V8 שתוקנה בעדכון החירום הזה .

כל חמש הפגיעויות אושרו כמנוצלות באופן פעיל עוד לפני שהתיקונים הופצו – דפוס שמציב את 2026 במסלול לעקוף את סך כל ימי האפס של כרום בשנים קודמות. מקורות רבים המסקרים את מחזורי התיקון מציינים כי העדכונים החודשיים כוללים כעת לעיתים קרובות לפחות באג אחד המנוצל בפועל, מה שמפעיל לחץ מתמשך על צוותי IT לקצר את מחזורי העדכון של תוכנות הדפדפן .

מה המשתמשים צריכים לעשות עכשיו

כרום בדרך כלל מעדכן את עצמו ברקע, אך ההפצה האוטומטית יכולה לקחת ימים עד שתגיע לכל משתמש. להגנה מיידית, פתחו את כרום, גשו לתפריט שלוש הנקודות בפינה הימנית העליונה, בחרו ב-עזרה > אודות Google Chrome, ואפשרו לדפדפן לבדוק ולהחיל את העדכון הזמין. מספר הגרסה צריך להיות 149.0.7827.102 ומעלה בווינדוס ולינוקס, ו-149.0.7827.103 ומעלה ב-macOS .

ארגונים המנהלים פריסות של כרום צריכים לוודא שכל נקודות הקצה מקבלות את גרסת ה-Stable העדכנית ביותר, ולשקול להאיץ את לוחות הזמנים לפריסה עבור עדכון חירום זה. מצב הניצול המאושר בעולם האמיתי פירושו שכל מערכת שמריצה גרסה מוקדמת יותר של כרום נותרת חשופה למתקפה פעילה.