Google випускає термінове оновлення для п'ятого нульового дня Chrome у 2026 році

Вразливість отримала оцінку 8.8 за шкалою CVSS, що відносить її до категорії «високий рівень небезпеки» . Для пересічного користувача це означає, що успішна атака може дозволити зловмиснику встановити шкідливе ПЗ, викрасти конфіденційні дані або підготувати плацдарм для подальших атак з рівнем привілеїв процесу браузера.

Деталі патчу та хронологія

Екстрений патч був випущений для Stable-каналу настільних версій 8 червня 2026 року в межах масштабного оновлення, яке виправляє одразу 74 вразливості . Google підтвердив, що експлойт для CVE-2026-11645 «існує в дикій природі», що робить це оновлення обов'язковим до негайного встановлення для всіх користувачів десктопного Chrome .

Оновлені версії:

• Windows та macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Як це зазвичай буває з оновленнями Chrome Stable, виправлення поширюється поступово протягом днів або тижнів. Однак користувачі можуть примусово запустити оновлення вручну через меню: «Налаштування» > «Довідка» > «Про Google Chrome».

Винагорода за знайдену помилку

Вразливість виявив та повідомив Google анонімний дослідник безпеки під псевдонімом «303f06e3» 27 квітня 2026 року . За свою знахідку він отримав винагороду в розмірі 55 000 доларів США, що відповідає рівням програми Chrome Vulnerability Rewards для критичних помилок типу пошкодження пам'яті в V8 .

Більша картина: нульові дні Chrome у 2026 році

З виправленням CVE-2026-11645, кількість нульових днів, виправлених у Chrome з початку 2026 року, досягла п'яти . Це свідчить про агресивну динаміку атак, що націлені саме на браузери. Ось повний список на середину червня:

• CVE-2026-2441 (лютий 2026): Вразливість «use-after-free» (використання після звільнення) в обробці CSS, що дозволяла віддалене виконання коду в пісочниці через шкідливу HTML-сторінку .
• CVE-2026-3909 (12 березня 2026): Вразливість запису поза межами в бібліотеці 2D-графіки Skia, яка лежить в основі візуалізації (рендерингу) сторінок у Chrome .
• CVE-2026-3910 (12 березня 2026): Помилка некоректної реалізації в рушії V8, що також дозволяла виконання коду. Виправлена одночасно з CVE-2026-3909 .
• CVE-2026-5281 (1 квітня 2026): Вразливість «use-after-free» у Dawn, кросплатформній реалізації WebGPU для Chrome. Агентство США з кібербезпеки (CISA) додало її до свого каталогу відомих експлуатованих вразливостей з вимогою до федеральних установ негайно оновити ПЗ .
• CVE-2026-11645 (червень 2026): Вразливість читання/запису поза межами в V8, виправлена цим терміновим оновленням .

Усі п'ять вразливостей були підтверджені як активно експлуатовані ще до виходу патчів. Як зазначають численні джерела, така тенденція змушує як звичайних користувачів, так і IT-спеціалістів компаній значно скорочувати цикл оновлення браузерів .

Що робити користувачам прямо зараз

Chrome зазвичай оновлюється автоматично у фоновому режимі, але цей процес може тривати кілька днів. Для негайного захисту відкрийте Chrome, натисніть на три крапки у правому верхньому куті, оберіть «Довідка» > «Про Google Chrome» та дозвольте браузеру перевірити і встановити доступні оновлення. Номер вашої версії має бути 149.0.7827.102 або вище для Windows та Linux, і 149.0.7827.103 або вище для macOS .

Для організацій, що централізовано керують парком браузерів, вкрай важливо переконатися, що всі кінцеві пристрої отримують останню стабільну версію. З огляду на підтверджений факт активної експлуатації, будь-яка система зі старішою версією Chrome залишається під прямою загрозою атаки.