Googles hastelapp lukker femte Chrome-nulldag i 2026 – V8-sårbarhet angripes aktivt

En angriper kan utnytte denne typesvikten ved å lage en skadelig HTML-side. Når denne siden åpnes i en uoppdatert nettleser, kan angriperen lure V8-motoren til å lese eller skrive utenfor minneområdet den har tilgang til. Konsekvensen er at angriperen kan kjøre vilkårlig kode inni Chromes sandkasse – et sikkerhetslag som normalt skal hindre skadelig programvare i å påvirke resten av datamaskinen , .

Sårbarheten er vurdert til alvorlighetsgrad 8.8 på CVSS-skalaen, noe som plasserer den i kategorien «høy risiko» , . Dette betyr at et vellykket angrep kan gi en ondsinnet aktør muligheten til å installere skadevare, stjele data eller forberede et større angrep, alt i ly av nettleserprosessen brukeren stoler på.

Dette må du gjøre – oppdater Chrome nå

Selv om Chrome vanligvis oppdaterer seg selv i bakgrunnen, kan den automatiske utrullingen ta flere dager. For øyeblikkelig beskyttelse bør du manuelt tvinge frem oppdateringen. Åpne Chrome, klikk på menyen med tre prikker øverst til høyre, velg Hjelp > Om Google Chrome, og la nettleseren se etter og installere tilgjengelige oppdateringer. Versjonsnummeret skal være 149.0.7827.102 eller høyere for Windows og Linux, og 149.0.7827.103 eller høyere for macOS , .

For IT-avdelinger som administrerer Chrome-installasjoner er dette en kritisk hasteoppdatering. Siden Google bekrefter at et angrep som utnytter hullet allerede finnes ute i villmarken («exploit exists in the wild»), er en hver datamaskin med en eldre versjon av Chrome et åpent mål , .

Det store bildet: Fem nulldagsangrep på et halvår

CVE-2026-11645 er bare den siste i en rekke alvorlige, målrettede angrep mot nettleserens kjernefunksjonalitet. Så langt i 2026 har Google måttet håndtere fem nulldagssårbarheter som alle ble aktivt utnyttet før brukerne fikk tilgang på en sikkerhetsoppdatering:

• CVE-2026-2441 (Februar 2026): Et «use-after-free»-problem i Chromes CSS-prosessor. For enkelt sagt gjelder det at programmet forsøker å bruke en minneadresse som allerede er frigitt, noe som lot angripere kjøre kode via manipulerte nettsider , .
• CVE-2026-3909 (12. mars 2026): En «out-of-bounds write»-svakhet i Skia, 2D-grafikkbiblioteket i Chrome. Minnefeilen kunne trigges av en skadelig HTML-side og utnyttes til å gjennomføre skriveoperasjoner på uautoriserte minneadresser , .
• CVE-2026-3910 (12. mars 2026): En feil i V8 som ble rettet samtidig med CVE-2026-3909. Her var problemet en «inappropriate implementation», som i praksis betyr at en funksjon ikke var programmert på en sikker nok måte, og dette ga en åpning for kodekjøring , .
• CVE-2026-5281 (1. april 2026): Nok en «use-after-free»-feil, denne gangen i Dawn, Chromes implementasjon av den nye WebGPU-standarden. Alvorlighetsgraden førte til at amerikanske myndigheter (CISA) ga føderale etater frist til 15. april med å oppdatere sine systemer , .
• CVE-2026-11645 (Juni 2026): Dagens V8-nulldag, som altså gjør det mulig å både lese og skrive utenfor gyldig minneområde – en kraftig og farlig kombinasjon , .

Alle fem sårbarhetene ble bekreftet aktivt utnyttet før Google fikk sendt ut patchene. Når tempoet i angrepene nå ser ut til å tilta, legger det et voldsomt press på IT-team over hele verden om å forkorte tiden fra en sikkerhetsoppdatering slippes til den er installert hos alle sluttbrukere , .