Elég volt egy weboldal – aktívan kihasználták a Chrome legveszélyesebb biztonsági rését 2026-ban

Súlyos, aktívan kihasznált biztonsági rést fedeztek fel a Google Chrome böngésző V8 JavaScript-motorjában

Súlyos, aktívan kihasznált biztonsági rést fedeztek fel a Google Chrome böngésző V8 JavaScript-motorjában, amely a CVE-2026-11645 azonosítót kapta. A sebezhetőség különösen veszélyes, mivel a felhasználó részéről semmilyen interakciót nem igényelt: elég volt egy fertőzött weboldalt megnyitni a támadó kód futtatásához. A Google már kiadta a vészfrissítést, amely a Chrome mellett az azonos motorra épülő Microsoft Edge-et is érinti.

A CVE-2026-11645 jelű sebezhetőség a Chrome V8 JavaScript motorjában volt elrejtve. Kattintás sem kellett – csak egy felkeresett oldal, és a támadó kódot futtathatott a böngészőben. Ez az idei ötödik aktívan kihasznált Chrome zéró-nap. 2026. június 15. | Forrás: The Hacker News, Help Net Security, NIST NVD, CISA, SecurityWeek

A legtöbb biztonsági rés esetén legalább valami kell a felhasználótól: egy megnyitott csatolmány, egy letöltött fájl, egy gyanús link. A CVE-2026-11645 jelű Chrome sebezhetőség ennél rafináltabb volt. Elegendő volt meglátogatni egy gondosan összerakott HTML oldalt – egy fertőzött hirdetést, egy kompromittált webshopot, bármit –, és a támadó tetszőleges kódot futtathatott a böngésző sandbox környezetében.

Mi az a V8, és miért ilyen kritikus egy ilyen hiba?

A Chrome szívében egy JavaScript-értelmező motor található: a V8. Ez az a komponens, amely minden modern webalkalmazás mögötti kódot lefuttat – a Gmail-től a YouTube-on át az online bankfelületekig. A V8 teljesítményéért elsősorban a C++ programozási nyelvet alkalmazzák, amely rendkívül gyors, ugyanakkor az úgynevezett memóriabiztonság tekintetében inherensen törékeny.

A sebezhetőség egy out-of-bounds (OOB) olvasási és írási feltételből ered a V8 JavaScript- és WebAssembly-motorban. A NIST Nemzeti Sebezhetőségi Adatbázisának leírása szerint a hiba lehetővé tette, hogy egy távoli támadó tetszőleges kódot futtasson a sandbox belsejében egy speciálisan megalkotott HTML oldalon keresztül.

Hogyan működött a támadás?

A támadási forgatókönyv az, amelytől a biztonsági kutatók a legjobban tartanak. Nem kellett letölteni semmit, nem kellett gyanús csatolmányt megnyitni. Elég volt felkeresni egy gondosan elkészített HTML oldalt, és az ellenséges kód magától lefutott.

A SecurityWeek arra következtet, hogy a támadók valószínűleg a V8-as hibát egy sandbox-szökési réssel láncolták össze – ez az a módszer, amellyel a homokozóból kijutva a teljes operációs rendszer felett is uralmat szerezhetnének.

Az idei év eddigi zéró-napjai:

• CVE-2026-3910 (március): nem megfelelő implementáció a V8-ban.
• CVE-2026-5281 (április): use-after-free a Dawn/WebGPU komponensben.
• CVE-2026-11645 (június): V8-as hiba.

A javítás és a teendők

A Google összesen 74 sebezhetőséget javított a Chrome 149-es verziójában. A javított verziószámok:

1. 149.0.7827.102/.103 (Windows és macOS)
2. 149.0.7827.102 (Linux)

Mit kell tenni? A teendő rövid és egyértelmű: ellenőrizni a Chrome verziószámát, és ha az 149.0.7827.103 alatti, azonnal frissíteni. A Chrome jobb felső sarkában a három pontos menüre kattintva, a Súgó → A Google Chrome-ról menüponton keresztül ez pár másodperc.