Piąta luka zero-day w Chrome w 2026 roku: wszystko, co musisz wiedzieć o CVE-2026-11645

Szczegóły łatki i harmonogram

Awaryjna łatka została wdrożona na stabilnym kanale dla komputerów stacjonarnych 8 czerwca 2026 roku w ramach szerszej aktualizacji, która w sumie usuwa 74 luki . Google oficjalnie potwierdziło, że „istnieje w środowisku naturalnym exploit dla CVE-2026-11645”, co sprawia, że jest to absolutnie priorytetowa aktualizacja dla każdego użytkownika .

Zaktualizowane wersje to:

• Windows i macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Aktualizacja jest wdrażana stopniowo, ale możesz ją wymusić ręcznie, przechodząc do Menu Chrome > Pomoc > Google Chrome — informacje.

Nagroda za znalezienie błędu i ujawnienie

Anonimowy badacz bezpieczeństwa, posługujący się pseudonimem „303f06e3”, odkrył i zgłosił lukę Google 27 kwietnia 2026 roku . Firma przyznała mu 55 000 dolarów nagrody w ramach programu Chrome Vulnerability Rewards Program, co jest standardową stawką za tego typu wysoko oceniane błędy związane z uszkodzeniem pamięci w silniku V8 .

Szerszy obraz: Chrome w 2026 roku pod ostrzałem

Z poprawką CVE-2026-11645, Chrome ma już na koncie pięć załatanych luk zero-day, które były aktywnie wykorzystywane, zanim powstała łatka . Oto niepokojąca lista z 2026 roku:

• CVE-2026-2441 (luty 2026): Błąd use-after-free w przetwarzaniu CSS, umożliwiający zdalne wykonanie kodu w piaskownicy .
• CVE-2026-3909 (12 marca 2026): Luka out-of-bounds write w bibliotece graficznej 2D o nazwie Skia .
• CVE-2026-3910 (12 marca 2026): Nieprawidłowa implementacja w silniku V8, załatana w tym samym cyklu co powyższa .
• CVE-2026-5281 (1 kwietnia 2026): Błąd use-after-free w Dawn, czyli implementacji WebGPU w Chrome, którą amerykańska agencja CISA dodała do swojego katalogu znanych, wykorzystywanych luk .
• CVE-2026-11645 (czerwiec 2026): Aktualnie łatany błąd out-of-bounds read/write w V8 .

Wszystkie te przypadki łączy jedno: były wykorzystywane w realnych atakach, zanim Google zdążyło dostarczyć łatkę. Ten schemat sprawia, że rok 2026 może pobić dotychczasowe, niechlubne rekordy liczby luk zero-day w Chrome, wywierając stałą presję na działy IT, by skracały cykle aktualizacji oprogramowania .

Co powinieneś teraz zrobić?

Zazwyczaj Chrome aktualizuje się automatycznie w tle, ale proces ten może potrwać kilka dni. Aby natychmiastowo się zabezpieczyć, otwórz Chrome, kliknij ikonę trzech kropek w prawym górnym rogu, wybierz Pomoc > Google Chrome — informacje i pozwól przeglądarce sprawdzić dostępność aktualizacji. Numer wersji powinien wynosić 149.0.7827.102 lub wyższy w systemach Windows/Linux oraz 149.0.7827.103 w systemie macOS .

Firmy zarządzające flotą przeglądarek Chrome powinny jak najszybciej zweryfikować, czy wszystkie punkty końcowe otrzymują najnowszą stabilną wersję. Ze względu na potwierdzone aktywne wykorzystanie luki, każdy system z niezałataną przeglądarką jest narażony na bezpośredni atak.