Google Pantas Keluarkan Patch Kecemasan, Chrome Diserang Zero-Day Kelima Tahun 2026

Kerentanan ini mempunyai skor CVSS 8.8, meletakkannya dalam kategori "berisiko tinggi (high severity)" . Bagi pengguna, serangan yang berjaya bermakna pihak lawan boleh menjalankan kod pada sistem anda dengan tahap keistimewaan (privilege level) proses pelayar — biasanya cukup untuk memasang perisian hasad, mencuri data, atau beralih kepada eksploitasi selanjutnya. Walaupun penzahiran Google menggunakan frasa standard bahawa pepijat ini "membolehkan penyerang jauh melaksanakan kod sewenang-wenangnya dalam kotak pasir," sifat primitif baca/tulis di luar sempadan juga menjadikan teknik seperti memintas ASLR praktikal bagi penyerang yang ingin menjejaskan sistem secara lebih dalam .

Butiran Tampalan dan Garis Masa

Tampalan kecemasan ini disalurkan melalui saluran Stabil Desktop pada 8 Jun 2026, sebagai sebahagian daripada kemas kini lebih besar yang membetulkan 74 kelemahan keselamatan dalam satu kemas kini . Google mengesahkan bahawa eksploitasi untuk CVE-2026-11645 "wujud di alam liar," menjadikan ini sebagai kemas kini yang mendesak dan wajib dipasang oleh sesiapa sahaja yang menjalankan Chrome pada desktop .

Versi yang ditampal adalah seperti berikut:

• Windows dan macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Seperti kebiasaan kemas kini Stabil Chrome, tampalan dilancarkan secara berperingkat selama beberapa hari dan minggu. Walau bagaimanapun, pengguna boleh mencetuskan kemas kini secara manual melalui Menu Chrome > Bantuan > Perihal Google Chrome.

Ganjaran 'Bug Bounty' dan Penzahiran

Seorang penyelidik keselamatan anonim yang menggunakan nama pengendali "303f06e3" menemui dan melaporkan kerentanan ini kepada Google pada 27 April 2026 . Google memberikan ganjaran sebanyak AS$55,000 untuk penemuan ini, selaras dengan tahap ganjaran Program Ganjaran Kerentanan Chrome untuk pepijat rasuah ingatan V8 berimpak tinggi . Walaupun catatan blog rasmi Chrome Releases untuk kitaran ini memasukkan jumlah ganjaran dalam ringkasannya, syarikat tersebut lazimnya tidak memperincikan jumlah ganjaran untuk setiap kerentanan individu dalam penasihat keselamatannya .

Gambaran Lebih Besar Zero-Day Chrome 2026

Dengan CVE-2026-11645, Chrome kini telah menyaksikan lima zero-day yang dieksploitasi secara aktif ditampal pada tahun 2026 sahaja . Senarai penuh sebelum Jun menunjukkan tempo eksploitasi pelayar yang semakin meningkat di alam liar:

• CVE-2026-2441 (Februari 2026): Pepijat use-after-free dalam pemprosesan CSS Chrome yang membolehkan pelaksanaan kod jauh di dalam kotak pasir melalui halaman HTML yang direka khas .
• CVE-2026-3909 (12 Mac 2026): Kerentanan tulis di luar sempadan (out-of-bounds write) dalam Skia, pustaka grafik 2D yang menyokong saluran paip pemaparan Chrome .
• CVE-2026-3910 (12 Mac 2026): Pepijat pelaksanaan tidak wajar (inappropriate implementation) dalam V8 yang membolehkan pelaksanaan kod sewenang-wenangnya dalam kotak pasir pelayar, ditampal dalam kemas kini yang sama dengan CVE-2026-3909 .
• CVE-2026-5281 (1 April 2026): Pepijat use-after-free dalam Dawn, pelaksanaan WebGPU merentas platform Chrome, yang telah ditambahkan oleh CISA ke dalam katalog Kerentanan Dieksploitasi yang Diketahui (KEV) dengan tarikh akhir untuk agensi persekutuan menampalnya .
• CVE-2026-11645 (Jun 2026): Kerentanan zero-day baca/tulis di luar sempadan V8 yang ditampal dalam kemas kini kecemasan ini .

Kesemua lima kerentanan telah disahkan sebagai dieksploitasi di alam liar sebelum tampalan dihantar — satu corak yang meletakkan tahun 2026 di landasan untuk melebihi jumlah kiraan zero-day Chrome Google dari tahun-tahun sebelumnya. Pelbagai sumber yang melaporkan tentang kitaran tampalan ini menyatakan bahawa penzahiran setiap bulan kini kerap kali melibatkan sekurang-kurangnya satu pepijat yang dieksploitasi secara aktif, memberikan tekanan berterusan kepada pasukan IT untuk memendekkan kitaran tampalan mereka bagi perisian pelayar .

Apa yang Pengguna Perlu Lakukan Sekarang

Chrome biasanya mengemas kini dirinya sendiri di latar belakang, tetapi pelancaran automatik boleh mengambil masa beberapa hari untuk sampai ke semua pengguna. Untuk perlindungan segera, buka Chrome, pergi ke menu tiga titik di penjuru kanan atas, pilih Bantuan > Perihal Google Chrome, dan benarkan pelayar menyemak dan menggunakan sebarang kemas kini yang tersedia. Nombor versi harus menunjukkan 149.0.7827.102 atau lebih tinggi pada Windows dan Linux, dan 149.0.7827.103 atau lebih tinggi pada macOS .

Organisasi yang mengurus penempatan Chrome harus mengesahkan bahawa semua titik akhir menerima keluaran stabil terkini dan mempertimbangkan untuk mempercepatkan garis masa penempatan untuk tampalan di luar jadual ini. Status eksploitasi aktif di alam liar yang disahkan bermakna mana-mana sistem yang menjalankan versi Chrome yang lebih awal kekal terdedah kepada serangan aktif.