Google закрыла эксплуатируемую уязвимость V8 в Chrome 149

Google выпустила обновление стабильного канала Chrome для настольных систем, исправив 74 уязвимости безопасности. Среди них — CVE-2026-11645 в движке V8: для нее уже существует эксплойт, используемый в реальных атаках.

Google выпустила обновление стабильного канала Chrome до версий 149.0.7827.102/.103 для Windows и macOS и 149.0.7827.102 для Linux. Обновление закрывает 74 уязвимости безопасности; распространение, как обычно для Chrome, будет идти поэтапно в течение ближайших дней и недель.

Главное исправление связано с CVE-2026-11645 — уязвимостью высокой степени опасности в V8, JavaScript- и WebAssembly-движке Chrome. Google сообщает, что ей известно о существовании эксплойта для этой уязвимости «в дикой природе».

По описанию NVD, ошибка относится к чтению и записи за пределами допустимой области памяти и затрагивает Google Chrome до версии 149.0.7827.103. Удаленный атакующий мог выполнить произвольный код внутри sandbox при открытии специально сформированной HTML-страницы.

Подробности атак Google не раскрывает. Доступ к информации о части ошибок и ссылкам на баг-репорты ограничен до тех пор, пока исправление не получит большинство пользователей.