„Chrome" vėl taiso nulines dienas — penkta spraga šiemet jau buvo ginklu

Kodėl „Chrome" kas porą mėnesių taiso tą patį — nulinių dienų spragas, kurios jau naudojamos atakoms? Atsakymas slypi ne naršyklės kode, o tame, kas jį medžioja: profesionalios šnipinėjimo grupės, kurių visas darbas yra rasti plyšį anksčiau nei „Google" inžinieriai.

Birželio pradžioje „Google" išleido dar vieną avarinį atnaujinimą — CVE-2026-11645, pažeidžiamumą „Chrome" V8 „JavaScript" variklyje. Tai jau penkta nulinės dienos spraga, kurią kompanija užlopė 2026-aisiais, ir visos jos buvo naudojamos gyvose atakose dar prieš tai, kai kas nors spėjo parašyti oficialų pranešimą.

Pati spraga — „out-of-bounds read and write" pažeidžiamumas, leidžiantis peržengti atminties buferio ribas. Užpuolikui tereikia, kad auka atidarytų specialiai sukurtą HTML puslapį. Nuo to momento jis gali skaityti atminties turinį, kurio neturėtų matyti, ir — svarbiausia — apeiti ASLR apsaugą. O kai ASLR nebeveikia, kitos spragos, kurios be šios apsaugos būtų bevertės, staiga tampa mirtinai pavojingos.

Pataisytos versijos jau pasiekiamos: „Windows" (149.0.7827.102), „Mac" (149.0.7827.103), „Linux" (149.0.7827.102). „BleepingComputer" patikrinus, atnaujinimas buvo prieinamas iškart, nors „Google" oficialiai perspėja, kad platinimas gali užtrukti.

Tačiau įdomiausia čia ne techniniai numeriai, o medžioklės mastas. Šiemet „Google" jau užlopė keturias kitas nulines dienas, pernai — dar aštuonias. Daugelį atrado pačios „Google" Threat Analysis Group (TAG) komanda, kuri specializuojasi sekti šnipinėjimo įrankių kūrėjus. Viena nulinės dienos spraga juodojoje rinkoje gali kainuoti nuo kelių šimtų tūkstančių iki pusantro milijono dolerių — tiek „Google" dabar oficialiai siūlo už kai kuriuos „Android" pažeidžiamumus.

Ką tai reiškia paprastam naudotojui? Kad naršyklės atnaujinimas nebėra formalumas, kurį galima atidėti savaitei. Jei „Chrome" veikia jau kelias dienas be paleidimo iš naujo — spraga vis dar atvira. Trys mygtuko paspaudimai: Meniu → Pagalba → Apie „Google Chrome" — ir naršyklė pati atsinaujins, jei to dar nepadarė. Šiame žaidime vėluoti neapsimoka.