Американська корпорація Google опублікувала повідомлення про випуск термінових оновлень безпеки для браузера Chrome з метою ліквідації критичної вразливості нульового дня, яка вже активно експлуатується в реальних кібератаках. Ця помилка отримала міжнародний ідентифікатор CVE-2026-11645 та була оцінена за шкалою CVSS у 8.8 бала з 10, що відносить її до високого рівня загрози. Технічна суть дефекту полягає у виході за межі виділеного буфера пам’яті під час виконання операцій читання та запису у внутрішньому рушії V8, який є ключовим базовим компонентом архітектури Chromium і безпосередньо відповідає за обробку та виконання сценаріїв мовами JavaScript та WebAssembly. Первинну інформацію про діру передав незалежний дослідник під псевдонімом “303f06e3” через програму пошуку багів, за що отримав винагороду у розмірі 55 000 доларів США. Зафіксовані випадки використання цієї технології змусили розробників терміново змінити графік релізів та підготувати патчі безпеки позачергово.

Механізм реалізації цієї кібератаки базується на надсиланні жертві або розміщенні на зламаних інтернет-ресурсах сторінок зі шкідливим кодом HTML та JavaScript. Під час завантаження такої сторінки браузером відбувається збій у логіці обробки двигуна, що дозволяє атакуючій стороні повністю подолати «пісочницю». Наслідком такого прориву є отримання хакерами можливості віддаленого виконання довільного шкідливого коду на пристрої з правами поточного користувача без додаткової взаємодії, що дозволяє викрадати паролі, файли сесій або встановлювати шпигунське програмне забезпечення. Виправлена модифікація вийшла під номером 149.0.7827.103 для Windows, macOS та Linux. Цей інцидент став уже п’ятим виправленим нульовим днем у Chrome з початку 2026 року, поповнивши список попередніх інцидентів, таких як лютнева помилка CVE-2026-2441, березневі проблеми з графікою CVE-2026-3909, дефекти рушія V8 CVE-2026-3910, а також квітнева вразливість CVE-2026-5281 у WebGPU.