Google закрыл новую zero-day-уязвимость в Chrome

Раньше такие ошибки искали в основном исследователи и устраняли задолго до громких инцидентов. Теперь Chrome снова получает срочный патч уже после того, как уязвимость успели использовать в атаках.

Что произошло

Google выпустил экстренное обновление для Chrome из-за новой уязвимости нулевого дня CVE-2026-11645. Компания прямо сказала, что эксплойт уже гуляет «в дикой среде», то есть злоумышленники успели применить его на практике.

Это пятая такая проблема, которую Google закрыл с начала года. Патч разошёлся по стабильному каналу Chrome для Windows, Mac и Linux.

Как работает эта дыра

Проблема сидит в движке V8, который отвечает за выполнение JavaScript-кода в браузере. Ошибка связана с чтением и записью за пределами выделенного блока памяти, а значит атакующий может подкинуть специально подготовленную HTML-страницу и попытаться запустить свой код внутри песочницы браузера.

Такие баги опасны не только срывом работы вкладки. Они могут вытащить данные из памяти, вызвать сбой или помочь обойти защитные механизмы, например ASLR — технологию, которая мешает предсказывать адреса в памяти.

Похожая логика уже встречалась в других разборках с браузерными багами: в разборе атаки на Open5GS мы писали, как одна ошибка в коде быстро превращается в входную точку для более тяжёлой атаки. Здесь схема та же, только фронт атаки — обычная веб-страница.

Почему это опасно

Пользователь не обязан ничего скачивать или запускать вручную. Достаточно открыть вредоносную страницу или попасть на скомпрометированный сайт, чтобы атака стартовала в браузере.

Если в системе есть и другая уязвимость, цепочка может стать ещё хуже: сначала злоумышленник пробивает защиту в браузере, потом добирается до выполнения кода и уже дальше пытается закрепиться в системе. Именно поэтому браузерные zero-day так быстро попадают в список приоритетных обновлений.

Как понять, касается ли это вас

Если вы пользуетесь Chrome на Windows, macOS или Linux, риск касается почти всех. Даже если браузер обновляется сам, окно между выпуском патча и его установкой у конкретного пользователя может тянуться часами или днями.

Проверить это просто: откройте меню браузера, раздел с информацией о версии и посмотрите, не ждёт ли Chrome перезапуска после обновления. Если вы часто держите открытыми десятки вкладок, обновление могло отложиться до следующего запуска.

Отдельно стоит обратить внимание на рабочие устройства, где обновления иногда тормозят политики компании. В такой среде риск выше, потому что старые версии дольше остаются в строю.

Как защититься

Первый шаг банален, но здесь он критичен: обновите Chrome вручную и перезапустите браузер. Не откладывайте это до конца дня — уязвимость уже использовали в атаках.

Второй шаг — держите включённые автоматические обновления не только для браузера, но и для самой операционной системы. Если в цепочке есть старая библиотека или системный компонент, свежий патч браузера не закроет все риски.

Третий шаг — не открывайте подозрительные ссылки из писем, мессенджеров и рекламных блоков. Для обычного пользователя это по-прежнему главная точка входа.

Если вы работаете из поездок, из гостиниц или с чужих сетей, имеет смысл заранее готовить устройство перед выходом из дома: обновить браузер, проверить расширения, отключить всё лишнее и убедиться, что автозапуск сомнительных вкладок не включён. Для тех, кто часто подключается к публичным точкам доступа, полезен и [защищённый канал для поездок]https://freedome.space — как дополнительный слой, а не замена обновлениям.

Что сделать прямо сейчас

• Откройте Chrome и проверьте, стоит ли последняя версия.
• Перезапустите браузер, если он уже скачал обновление.
• Обновите операционную систему и другие программы, которые выходят в интернет.
• Закройте лишние вкладки и удалите подозрительные расширения.
• Не переходите по ссылкам из сомнительных писем и сообщений.
• Если устройство рабочее, уточните у админа, когда придёт патч.
• В поездках и при работе вне офиса заранее готовьте устройство к выходу из дома.