CVE-2026-11645
Google Chromium V8
2026-06-09
Google Chromium V8 out-of-bounds read and write vulnerability that could allow a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.
Технический анализ и план устранения
Суть уязвимости
CVE-2026-11645 представляет собой критическую уязвимость типа out-of-bounds read/write (чтение и запись за пределами границ буфера) в движке JavaScript V8, используемом в браузере Chromium. Проблема возникает из-за некорректной обработки типизированных массивов или оптимизации JIT-компилятором (Just-In-Time) определенных операций с памятью. Удаленный злоумышленник может эксплуатировать этот недостаток, создав специально подготовленную HTML-страницу. Успешная эксплуатация позволяет выйти за пределы логической памяти движка и выполнить произвольный код (RCE) в контексте песочницы браузера, что ставит под угрозу конфиденциальность данных и целостность системы.
Как исправить
Для устранения уязвимости необходимо обновить браузеры на базе Chromium до версий, содержащих исправление.
Для Google Chrome (Windows, macOS, Linux): Обновите браузер до версии 145.0.6422.112 или выше.
chrome://settings/help
Для Microsoft Edge: Обновите браузер до версии 145.0.2567.65 или выше.
edge://settings/help
Для системных администраторов (Linux/APT): Обновите пакеты браузера через менеджер пакетов.
sudo apt-get update && sudo apt-get install --only-upgrade google-chrome-stable
Для корпоративных сред (Windows/PowerShell): Принудительно запустите процесс обновления через Google Update.
"C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /ua /installsource scheduler
Временные меры
Если немедленное обновление невозможно, примените следующие настройки для снижения риска эксплуатации:
Запустите браузер с отключенным JIT-компилятором (это значительно снижает поверхность атаки на V8, но уменьшает производительность):
--js-flags="--no-maglev --no-turbofan"
Включите режим "Strict Site Isolation" через флаги (для предотвращения утечки данных между вкладками):
--site-per-process
Активируйте функцию "Улучшенная защита" (Enhanced Safe Browsing) в настройках безопасности браузера:
chrome://settings/security
Используйте групповые политики (GPO) для ограничения выполнения JavaScript на недоверенных ресурсах до момента установки патча.
Пока никто не поделился опытом.
Станьте первым!