- شناسه CVE-2026-0908 :CVE
- CWE-416 :CWE
- yes :Advisory
- منتشر شده: ژانویه 20, 2026
- به روز شده: ژانویه 20, 2026
- امتیاز: 8.8
- نوع حمله: Use after free
- اثر گذاری: Remote code execution(RCE)
- حوزه: مرورگرها
- برند: Google
- محصول: Chrome
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیب پذیری CVE-2026-0908 یک ضعف امنیتی از نوع Use-After-Free در مؤلفه ANGLE مرورگر Google Chrome است. این آسیب پذیری به یک مهاجم از راه دور اجازه می دهد با ترغیب کاربر به بازدید از یک صفحه HTML دستکاری شده، شرایط خرابی حافظه (Heap Corruption) را ایجاد کرده و امکان اجرای کد دلخواه در پردازه مرورگر را فراهم کند.
توضیحات
آسیب پذیری CVE-2026-0908 مطابق با CWE-416 (Use-After-Free) در مؤلفه ANGLE مرورگر Google Chrome رخ می دهد. ANGLE یک لایه انتزاعی گرافیکی است که وظیفه تبدیل دستورات OpenGL ES به رابط های گرافیکی بومی سیستم عامل مانند Direct3D در ویندوز، OpenGL یا Vulkan را بر عهده دارد. این مؤلفه نقش مهمی در اجرای WebGL، پردازش گرافیک دوبعدی و سه بعدی و شتاب دهی سخت افزاری صفحات وب ایفا می کند.
ریشه این آسیب پذیری به مدیریت نادرست حافظه در ANGLE بازمیگردد. در شرایط خاص، یک شیء در Heap آزاد (Free) می شود، اما برنامه همچنان از اشاره گر (Pointer) مربوط به همان حافظه استفاده می کند. این وضعیت که به آن Dangling Pointer گفته می شود، می تواند موجب دسترسی به حافظه آزاد شده و در نتیجه خرابی حافظه شود. مهاجم قادر است با کنترل نحوه تخصیص مجدد حافظه (Heap Grooming) داده های دلخواه خود را در همان ناحیه قرار دهد تا هنگام استفاده مجدد از Pointer، رفتار برنامه را تحت کنترل بگیرد.
سناریوی بهره برداری از این آسیب پذیری نسبتاً ساده است. مهاجم یک صفحه HTML یا وب سایت مخرب طراحی می کند که از JavaScript، WebGL یا سایر قابلیت هایی که از ANGLE استفاده می کنند بهره می برد. هنگامی که قربانی این صفحه را با نسخه آسیب پذیر Chrome باز می کند، توالی خاصی از عملیات گرافیکی موجب آزاد شدن یک شیء و سپس استفاده مجدد از آن می شود. این وضعیت میتواند باعث Heap Corruption شده و در شرایط مناسب، اجرای کد دلخواه در پردازه مرورگر را ممکن سازد. بهره برداری از این آسیب پذیری به احراز هویت یا دسترسی قبلی مهاجم نیاز ندارد و تنها تعامل لازم، بازدید کاربر از صفحه مخرب است.
از منظر امنیت اطلاعات، این آسیب پذیری بر هر سه اصل اصلی امنیت اثرگذار است. از نظر محرمانگی (Confidentiality)، مهاجم ممکن است به اطلاعات موجود در حافظه پردازه مرورگر دسترسی پیدا کند. از نظر یکپارچگی (Integrity)، امکان تغییر ساختارهای حافظه و اجرای دستورات غیرمجاز وجود دارد. همچنین از نظر دسترسپذیری (Availability)، خرابی حافظه می تواند باعث Crash شدن مرورگر یا توقف غیرمنتظره پردازه شود. در سناریوهای پیشرفته، این نوع آسیب پذیری معمولاً به همراه یک آسیب پذیری Sandbox Escape زنجیره شده و در نهایت به اجرای کد در سطح سیستم عامل منجر می شود؛ هرچند CVE-2026-0908 به تنهایی چنین قابلیتی ایجاد نمی کند.
گوگل این آسیب پذیری را در نسخه 144.0.7559.59 برطرف کرده است. اصلاح انجام شده شامل بهبود مدیریت چرخه عمر اشیاء در ANGLE و جلوگیری از دسترسی به حافظه آزادشده است که احتمال ایجاد Heap Corruption را از بین می برد.
| Score | Severity | Version | Vector String |
| 8.8 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |

شکل 1: تفسیر جدول CVSS
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| Prior to 144.0.7559.59 | Windows | Google Chrome |
| Prior to 144.0.7559.59 | macOS | Google Chrome |
| Prior to 144.0.7559.59 | Linux | Google Chrome |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 144.0.7559.59 and later | Windows | Google Chrome |
| 144.0.7559.59 and later | macOS | Google Chrome |
| 144.0.7559.59 and later | Linux | Google Chrome |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکس شده در گوگل با دامنه .ir که Google Chrome را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google (Total Pages) | Search Query (Dork) | Product |
| 615,200 | site:.ir “Google Chrome” | Google Chrome |
نتیجه گیری
آسیب پذیری CVE-2026-0908 یک ضعف امنیتی مبتنی بر خرابی حافظه در مؤلفه ANGLE مرورگر Google Chrome است که از طریق یک صفحه HTML دستکاری شده قابل بهره برداری است. اگرچه شدت داخلی Chromium برای این آسیب پذیری Low اعلام شده، اما به دلیل ماهیت Use-After-Free و امکان ایجاد Heap Corruption، ریسک آن در عمل قابل توجه است. این دسته از آسیب پذیری ها در سال های اخیر بارها به عنوان بخشی از زنجیره حملات مرورگرها مورد استفاده قرار گرفتهاند. برای کاهش ریسک سوء استفاده از این آسیب پذیری، اجرای اقدامات امنیتی زیر توصیه میشود:
- بروزرسانی فوری مرورگر: تمامی کاربران و سازمان ها باید مرورگر Google Chrome را در اسرع وقت بروزرسانی کنند. اعمال این بروزرسانی مهم ترین و مؤثرترین اقدام برای رفع آسیب پذیری است.
- آموزش آگاهی رسانی امنیتی: به کاربران آموزش داده شود تا از کلیک روی لینک های مشکوک در ایمیل ها، پیام رسان ها، یا وب سایت های ناشناس خودداری کنند. این اقدام می تواند از وقوع حملات Drive-by Compromise جلوگیری کند.
- استفاده از راهکارهای EDR و Anti-Exploit: راهکارهای امنیت اندپوینت می توانند رفتارهای مشکوک مانند تلاش برای خروج از Sandbox (Sandbox Escape)، Heap Spraying، یا الگوهای غیرعادی در استفاده از WebGL توسط مرورگر را شناسایی و مسدود کنند.
- استفاده از قابلیت Site Isolation: مرورگر Google Chrome دارای قابلیت Site Isolation است که هر تب را در یک پردازه جداگانه اجرا می کند. اطمینان از فعال بودن این قابلیت می تواند اثرگذاری حملات Sandbox Escape را محدود کند.
در نهایت، بروزرسانی سریع مرورگرهای آسیب پذیر همراه با اعمال کنترل های امنیتی مناسب، نظارت مستمر بر رفتار مرورگر، و آموزش کاربران، میتواند ریسک سوء استفاده از این آسیب پذیری و تأثیر آن بر امنیت سیستم ها را به حداقل برساند.
امکان استفاده در تاکتیکهای Mitre Attack (در زمان اجرای حمله)
Reconnaissance (TA0043)
مهاجم معمولاً پیش از آغاز حمله، اهدافی را که از نسخه های آسیب پذیر Chrome استفاده می کنند شناسایی کرده و صفحات یا وب سایت هایی را طراحی می کند که بیشترین احتمال بازدید توسط قربانی را داشته باشند. این مرحله می تواند از طریق کمپین های فیشینگ یا وب سایت های آلوده انجام شود.
Initial Access (TA0001)
دسترسی اولیه زمانی حاصل می شود که قربانی صفحه HTML یا وب سایت مخرب را با نسخه آسیب پذیر Chrome باز کند. بهره برداری تنها به تعامل کاربر (بازدید از صفحه) نیاز دارد و مهاجم احتیاجی به احراز هویت یا دسترسی قبلی به سیستم ندارد.
Execution (TA0002)
JavaScript یا WebGL موجود در صفحه مخرب شرایط Use-After-Free را در ANGLE فعال کرده و موجب Heap Corruption می شود. در صورت موفقیت، مهاجم می تواند کد دلخواه را در پردازه مرورگر اجرا کند.
Defense Evasion (TA0005)
اجرای کد در محیط Sandbox مرورگر و استفاده از پردازه های قانونی Chrome میتواند شناسایی فعالیت مخرب را برای برخی ابزارهای امنیتی دشوارتر کند. در حملات پیشرفته، این آسیب پذیری معمولاً به عنوان بخشی از زنجیره بهره برداری همراه با آسیبپذیری Sandbox Escape مورد استفاده قرار می گیرد.
Impact (TA0040)
در صورت موفقیت حمله، مهاجم قادر خواهد بود اطلاعات حساس کاربر مانند کوکی ها، نشست های احراز هویت، داده های موجود در حافظه مرورگر یا سایر اطلاعات پردازش شده توسط Renderer را در معرض خطر قرار دهد. همچنین خرابی حافظه می تواند موجب Crash مرورگر یا اختلال در عملکرد آن شود و در سناریوهای زنجیره ای، زمینه اجرای کد خارج از Sandbox را نیز فراهم کند.
منابع
گزارش اثبات آسیبپذیری CVE-2026-0908
اطلاعات آسیبپذیری
عنوان: اجرای کد از راه دور از طریق Use-After-Free در مؤلفه ANGLE مرورگر Google Chrome
شناسه: CVE-2026-0908
وضعیت مشاوره: Advisory / Patch Available
امتیاز: CVSS: 8.8 (High)
محصول: Google Chrome
محصول / نسخههای آسیبپذیر
در نسخههای زیر:
- Google Chrome برای Windows و Linux، نسخههای قبل از 144.0.7559.59
- Google Chrome برای macOS، نسخههای قبل از 144.0.7559.60
- مرورگرهای مبتنی بر Chromium که از نسخه آسیبپذیر ANGLE استفاده میکنند
محیطهای درگیر
- کلیه سازمان هایی که از مرورگرهای مبتنی بر Chromium در محیط های کاری استفاده میکنند
- کاربران خانگی و سازمانی که از Google Chrome، Microsoft Edge، Brave، Opera یا سایر مرورگرهای Chromium-based استفاده می کنند
- محیط های cloud و container که از Chromium برای headless browsing، web scraping یا automated testing استفاده می کنند
- سیستم های embedded که از Chromium runtime استفاده می کنند
- کاربرانی که به وب سایت های ناشناس یا لینک های مشکوک مراجعه می کنند
- سیستمهایی که از WebGL و برنامههای گرافیکی مبتنی بر مرورگر استفاده میکنند
کامپوننتهای آسیبپذیر
- کامپوننت ANGLE (Almost Native Graphics Layer Engine)
- API های WebGL و Canvas که از ANGLE برای رندرینگ گرافیکی استفاده میکنند
- مکانیزم ترجمه OpenGL ES به API های گرافیکی بومی سیستمعامل (Direct3D در Windows، OpenGL/Vulkan در سایر پلتفرمها)
ریشه مشکل (Root Cause Analysis)
ریشه این آسیب پذیری یک Use-After-Free (CWE-416) در مؤلفه ANGLE است. در برخی مسیرهای پردازش گرافیکی، یک شیء حافظه آزاد (Free) می شود، اما اشاره گر مربوط به آن همچنان مورد استفاده قرار می گیرد. در نتیجه، پس از تخصیص مجدد همان ناحیه حافظه، کد همچنان به اشاره گر قدیمی دسترسی پیدا می کند و عملیات خواندن یا نوشتن روی حافظه ای انجام می دهد که دیگر متعلق به شیء اولیه نیست. این وضعیت موجب Heap Corruption شده و مهاجم می تواند با طراحی یک صفحه HTML حاوی JavaScript یا محتوای WebGL ویژه، وضعیت حافظه را کنترل کرده و در نهایت کد دلخواه را در پرداژه مرورگر اجرا کند.
بخش آسیبپذیر
رفتار ناامن سیستم:
کامپوننت ANGLE در گوگل کروم هنگام مدیریت اشیاء گرافیکی، به درستی چرخه عمر آن ها را مدیریت نمی کند. پس از آزادسازی یک شیء، اشاره گر به آن شیء همچنان معتبر باقی می ماند و دسترسی بعدی به آن منجر به Use-After-Free میشود. این نقص به مهاجم اجازه می دهد تا با کنترل محتوای حافظه آزاد شده، heap corruption ایجاد کند و در سناریوهای پیشرفته تر، کد دلخواه را در context پردازه renderer مرورگر اجرا کند.
نحوه سوءاستفاده مهاجم:
- مهاجم یک صفحه HTML مخرب ایجاد می کند
- کاربر قربانی با مرورگر آسیب پذیر از این صفحه بازدید می کند
- JavaScript یا محتوای WebGL مسیر آسیب پذیر ANGLE را فعال می کند
- وقتی مرورگر تلاش میکند به شیء آزادشده دسترسی پیدا کند، بهجای آن دادههای تحت کنترل مهاجم را میخواند.
- این Use-After-Free منجر به heap corruption می شود
- مهاجم کد دلخواه خود را در Renderer Process مرورگر اجرا میکند
نقش این آسیبپذیری در زنجیره حمله
این آسیب پذیری یک ابزار اجرای کد دلخواه درون sandbox مرورگر (Renderer RCE) است که به عنوان مرحله اول در یک زنجیره حمله پیچیده مرورگر استفاده می شود. با توجه به نمره CVSS 8.8 و ماهیت remote بودن (بدون نیاز به دسترسی محلی)، مهاجم می تواند از طریق روش های متعدد مانند Malvertising یا Spear Phishing قربانی را هدف قرار دهد.
پس از موفقیت در بهره برداری از این آسیب پذیری، مهاجم کد دلخواه را درون sandbox پردازه renderer اجرا می کند. این دسترسی به مهاجم اجازه میدهد:
- اطلاعات حساس مانند cookies، localStorage، sessionStorage و مقادیر فرم ها را سرقت کند
- Session hijacking انجام دهد
- محتوای DOM را دستکاری کند (inject phishing forms)
- Keylogging انجام دهد (capture all keystrokes)
- اطلاعات heap V8 را leak کند (ASLR bypass)
برای دستیابی به دسترسی کامل سیستم، مهاجم باید این آسیب پذیری را با یک آسیب پذیری sandbox escape ترکیب کند.
پیشنیازهای بهرهبرداری (Prerequisites)
- استفاده از نسخه آسیبپذیر Chrome
- بازدید کاربر از صفحه HTML مخرب
- فعال بودن JavaScript مرورگر
- عدم نصب وصله امنیتی
رفتار مورد انتظار در حالت امن (Expected Secure Behavior)
- کامپوننت ANGLE باید چرخه عمر اشیاء گرافیکی را به درستی مدیریت کند و اطمینان حاصل کند که اشاره گرها پس از آزادسازی حافظه، null شوند
- مکانیزم های reference counting باید به درستی پیاده سازی شوند تا از دسترسی به اشیاء آزاد شده جلوگیری شود
- مکانیزم های محافظتی مانند ASLR ، DEP و sandbox باید از تبدیل Use-After-Free به اجرای کد دلخواه جلوگیری کنند
- فرآیند renderer باید در صورت تشخیص دسترسی به حافظه آزاد شده، به صورت ایمن crash کند (fail-safe) بدون اینکه اجازه اجرای کد مخرب را بدهد
- Site Isolation باید فعال باشد تا تأثیر exploit به یک سایت محدود شود
- اصل Fail Secure، هرگونه تلاش برای دسترسی به حافظه آزاد شده باید منجر به پایان ایمن پردازش شود
- پیاده سازی Memory Safe Patterns و استفاده از ابزارهای تشخیصی مانند AddressSanitizer در فرآیند توسعه
راهکارها و کاهش ریسک (Mitigation / Patch Guidance)
اقدامات فوری برای کاهش ریسک:
- به روزرسانی Google Chrome به نسخه های پچ شده
- به روزرسانی سایر مرورگرهای مبتنی بر Chromium به آخرین نسخه ارائه شده
- اطمینان از فعال بودن Site Isolation در chrome://flags/#site-isolation-trial-opt-out
اقدامات کوتاهمدت / میانمدت برای کاهش ریسک:
- انجام اسکن تمام سیستم های سازمان برای شناسایی نسخه های آسیبپذیر مرورگرها و اعمال وصله به صورت متمرکز
- پیاده سازی و تقویت راهکارهای EDR (Endpoint Detection and Response) برای شناسایی رفتارهای مشکوک مرتبط با بهره برداری از مرورگر
- آموزش کاربران در خصوص خطرات باز کردن لینک های ناشناس و دانلود فایل های غیرقابل اعتماد
- استفاده از ابزارهای ad-blocking و anti-malvertising برای کاهش سطح حمله از طریق تبلیغات مخرب
- غیرفعال کردن WebGL در chrome://flags/#disable-webgl (ممکن است بر عملکرد برنامه های وب تأثیر بگذارد)
اقدامات بلندمدت برای کاهش ریسک:
- تدوین و اجرای سیاست ” بهروزرسانی خودکار مرورگر ” (Automated Browser Update) برای تمام سیستم های سازمان
- پیاده سازی Content Security Policy (CSP) سخت گیرانه برای وب سایت های سازمانی
- استقرار سیستم های تشخیص نفوذ مبتنی بر هاست ( HIDS ) برای پایش تغییرات غیرعادی در فرآیندهای مرورگر
- آموزش تیم های عملیاتی در خصوص خطرات آسیب پذیری های مرورگر و نحوه شناسایی و پاسخ به آنها
- پیاده سازی فرآیندهای منظم تست نفوذ (Penetration Testing) و ارزیابی امنیتی برای کشف زودهنگام آسیب پذیری های مشابه در زیرساخت
تشخیص و مانیتورینگ (Detection & Monitoring)
نشانههای تلاش برای سوءاستفاده:
- Crash مکرر فرآیند renderer با خطاهای مرتبط با ANGLE یا heap corruption
- پیام خطای “Can’t open this page” یا “Aw, Snap!” در گوگل کروم
- فعالیت غیرعادی در لاگ های مرورگر مرتبط با پردازش WebGL
- درخواست های شبکه مشکوک از فرآیند renderer به دامنه های غیرمعمول
- تلاش برای دسترسی به حافظه آزاد شده در heap فرآیند renderer
- اجرای Child Process های غیرمنتظره توسط Chrome
منابع پیشنهادی برای مانیتورینگ و پایش:
- لاگ های crash مرورگر
- سیستم های SIEM برای جمع آوری و تحلیل مرکزی لاگ ها
- راهکارهای EDR (Endpoint Detection and Response) مانند CrowdStrike، SentinelOne، یا Microsoft Defender for Endpoint
- ابزارهای مانیتورینگ شبکه برای شناسایی درخواست های مشکوک به دامنه های غیرمعمول
- سیستم های نظارت بر یکپارچگی فایل (FIM) مانند AIDE یا Tripwire برای تشخیص تغییرات غیرمجاز در فایل های سیستمی
- ابزارهای تحلیل حافظه (Memory Forensics) مانند Volatility برای بررسی heap فرآیند renderer
واکنش به حادثه (Incident Response)
- ایزوله سازی فوری، سیستم آسیب دیده را از شبکه جدا کنید تا از حرکت جانبی مهاجم جلوگیری شود
- جمع آوری و حفظ لاگ های crash مرورگر، لاگ های شبکه برای تحلیل فارنزیک (Forensics)
- بررسی وجود فایل های مخرب یا تغییرات غیرمجاز در سیستم
- بازنشانی تمام رمزهای عبور کاربران، توکنهای session، و هر گونه اعتبار دسترسی
- نصب فوری وصله امنیتی و بهروزرسانی فوری مرورگر
- بررسی یکپارچگی فایل های سیستمی و شناسایی باینریهای غیرمجاز
- اسکن کامل سایر سیستم های شبکه برای شناسایی علائم مشابه یا دسترسی مهاجم به آن ها
- مستندسازی کامل حادثه (زمان وقوع، نشانهها، اقدامات انجامشده، درسآموختهها) و گزارش به مدیریت ارشد و تیم واکنش سریع (CSIRT)
جریان حمله (Attack Flow)
در نمودار زیر (شکل ۱)، مهاجم یک صفحه HTML حاوی JavaScript و محتوای WebGL طراحی می کند. قربانی پس از باز کردن صفحه در نسخه آسیب پذیر Chrome، مسیر آسیب پذیر در مؤلفه ANGLE را فعال میکند. در اثر وقوع Use-After-Free، حافظه Heap دچار خرابی شده و مهاجم موفق به اجرای کد دلخواه در فرآیند Renderer مرورگر میشود. در صورت ترکیب این آسیب پذیری با یک نقص Sandbox Escape، مهاجم می تواند کنترل کامل سیستم قربانی را در اختیار بگیرد.

شکل 1: جریان اجرای آسیب پذیری
اثبات مفهوم (PoC) — کاملاً غیرمخرب
آزمایشگاه تخصصی Vulnerbyte، این آسیبپذیری را در محیط ایزوله و کنترلشده با استفاده از نسخه آسیبپذیر بررسی و اجرا کرده است
- این آزمایشگاه شامل نسخه آسیبپذیر Chromeاست
- اجرای مرورگر در محیط آزمایشگاهی
- اجرای فایل poc.html
- بررسی رفتار مرورگر در DevTools
- پس از اجرای PoC، مرورگر قادر نخواهد بود به درخواست ارسال شده از طرف وب سرور لوکال (loopback) پاسخ بدهد، این crash نشان دهنده Use-After-Free است و منجر به خاتمه پردازه renderer شده است
- این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و شامل تغییرات مخرب نمیشود

شکل 2: اجرای POC
رفع مسئولیت
این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوبهای قانونی از محتوای آن ممنوع است.
منابع
https://www.cve.org/CVERecord?id=CVE-2026-0908
https://nvd.nist.gov/vuln/detail/CVE-2026-0908
https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop_13.html
https://issues.chromium.org/issues/452209503
https://github.com/lylzjnqe/CVE-2026-0908-Chrome-0-day-RCE
https://cwe.mitre.org/data/definitions/416.html
Chromium ANGLE Library
CVE-2026-0908 – Use After Free in ANGLE Leading to Heap Corruption and Remote Code Execution
Affects
- Google Chrome and all Chromium-based browsers (Microsoft Edge, Brave, Vivaldi, Opera, etc.)
- Versions:
- Google Chrome prior to 144.0.7559.59
- Microsoft Edge Chromium versions prior to the patched release aligned with Chrome 144.0.7559.59
- Components:
- ANGLE (Almost Native Graphics Layer Engine) – a graphics abstraction layer used by Chromium for rendering WebGL and other graphics content
- Files:
- ANGLE graphics library components handling shader compilation and texture management
- Functions:
- Memory management routines within ANGLE’s WebGL processing pipeline
Description
CVE-2026-0908 is a high-severity Use After Free (UAF) vulnerability discovered in the ANGLE graphics component of Google Chrome and all Chromium-based browsers .
ANGLE is a graphics abstraction layer that translates OpenGL ES and WebGL calls to native graphics APIs (Direct3D, OpenGL, Vulkan). The vulnerability occurs when ANGLE improperly manages memory during the processing of WebGL content. When a remote attacker crafts a malicious HTML page containing specific WebGL commands, ANGLE frees a memory region but later references it .
This UAF condition leads to heap corruption within the browser process. Since the heap memory may have been reallocated for other purposes, the attacker can potentially control the contents of the freed memory, leading to arbitrary code execution inside the browser sandbox .
Key technical characteristics:
- CWE: CWE-416 – Use After Free
- Chromium security severity: Low (Google internal rating)
- CVSS severity: High (8.8)
- Vulnerability type: Heap corruption via use-after-free
- Attack vector: Remote – requires user to visit a malicious webpage
Attack Vector
Primary Attack Vector:
Remote / Network (requires user interaction)
Attack Scenario:
- An attacker creates a malicious HTML page with crafted WebGL content that triggers the UAF vulnerability in ANGLE
- The attacker hosts the page on a website, compromises a legitimate site, or delivers it via phishing
- A victim visits the page using a vulnerable Chromium-based browser (Chrome < 144.0.7559.59, Edge, etc.)
- The crafted WebGL commands trigger the UAF condition, causing heap corruption
- The attacker can potentially achieve arbitrary code execution within the browser sandbox
Key Characteristics:
| Attribute | Details |
|---|---|
| Attack Vector | NETWORK |
| Attack Complexity | LOW |
| Privileges Required | NONE |
| User Interaction | REQUIRED (victim must visit crafted page) |
| Scope | UNCHANGED |
| Confidentiality Impact | HIGH |
| Integrity Impact | HIGH |
| Availability Impact | HIGH |
| CWE | CWE-416 – Use After Free |
Conditions Affecting Risk:
- Any user browsing the internet with an unpatched Chromium-based browser is at risk
- The vulnerability can be triggered by simply visiting a webpage with WebGL content
- All Chromium-based browsers (Edge, Brave, Opera, Vivaldi) share the ANGLE component and remain exposed until patched
Impact
Successful exploitation allows a remote attacker to:
- Execute arbitrary code inside the browser sandbox via heap corruption
- Bypass browser sandbox protections (may require chaining with additional vulnerabilities)
- Read or corrupt heap memory used by the browser process
- Trigger browser crashes through heap corruption
- Potentially achieve complete system compromise if chained with a sandbox escape vulnerability
| Impact Area | Level | Description |
|---|---|---|
| Confidentiality | HIGH | Access to data in browser memory |
| Integrity | HIGH | Ability to corrupt system state |
| Availability | HIGH | Potential to crash browser and corrupt memory |
Secondary Impacts:
- Credential theft and session hijacking
- Malware delivery
- Data exfiltration from browser memory
Observed Exploitation & Threat Activity
- Public Disclosure: January 13, 2026 (Chrome 144.0.7559.59 release)
- CVE Published: January 20, 2026
- CISA KEV Catalog: Not added (as of current data)
- Active Exploitation: Not confirmed – no evidence of public proof-of-concept or active exploitation
- Public PoC: Contradictory information – Some sources indicate PoC available , while others state “no evidence”
- CVSS Score: 8.8 (High) from CISA-ADP
- EPSS Score: Very low (< 1%) – low probability of exploitation in the immediate short term
Conflicting Status Information:
| Source | Public PoC | Active Exploitation |
|---|---|---|
| Feedly | No evidence | No evidence |
| CVEFeed.io | Available on GitHub | Unknown |
| OpenCVE | Unknown | Not in KEV catalog |
| CVETodo | Unknown | No known exploitation |
Recommendation: Treat PoC status as uncertain – prepare for exploitation even if PoC is not currently public. The high CVSS score warrants immediate patching regardless of PoC status.
Severity & Metrics
- CVSS v3.1 (CISA-ADP): High (8.8)
- Attack Vector: NETWORK
- Attack Complexity: LOW
- Privileges Required: NONE
- User Interaction: REQUIRED
- Scope: UNCHANGED
- Confidentiality Impact: HIGH
- Integrity Impact: HIGH
- Availability Impact: HIGH
Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Additional Notes:
- Chromium internal severity: Low (contrasts with CVSS 8.8)
- EPSS Score: < 1% – Very low exploitation probability
- CISA KEV: Not listed
- CWE: CWE-416 – Use After Free
Patch & Vendor Status
- Official Patches Available: Yes – released January 13, 2026
- Google Chrome: Version 144.0.7559.59 or later
- Microsoft Edge: Latest patched version aligned with Chrome 144.0.7559.59
- Debian Linux:
- Bookworm (stable): Fixed in 145.0.7632.116-1~deb12u1
- Trixie (testing): Fixed in 145.0.7632.116-1~deb13u1
- Bullseye (oldstable): Vulnerable – end-of-life status
- Alpine Linux (qt6-qtwebengine): Fixed in community branches
- SUSE Linux: Fixed packages available for all supported versions
Patch Links:
- https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop_13.html
- https://issues.chromium.org/issues/452209503
Vulnerable and Fixed Packages (Debian):
| Source Package | Release | Version | Status |
|---|---|---|---|
| chromium | bullseye (oldstable) | 120.0.6099.224-1~deb11u1 | vulnerable (EOL) |
| chromium | bookworm (stable) | 143.0.7499.169-1~deb12u1 | vulnerable |
| chromium | bookworm (security) | 145.0.7632.116-1~deb12u1 | fixed |
| chromium | trixie (testing) | 143.0.7499.169-1~deb13u1 | vulnerable |
| chromium | trixie (security) | 145.0.7632.116-1~deb13u1 | fixed |
Mitigation & Remediation
Immediate Actions
| Action | Method |
|---|---|
| Update Google Chrome | chrome://settings/help → Update (or use package manager) |
| Update Microsoft Edge | edge://settings/help → Update |
| Update Debian Linux | sudo apt update && sudo apt upgrade chromium |
| Update SUSE Linux | zypper update chromium or apply patches |
| Enable automatic browser updates | Ensure browsers are configured for automatic updates |
Short-Term Defensive Measures
If patching cannot be applied immediately:
- Avoid untrusted websites – Exercise caution when browsing
- Disable hardware acceleration – In Chrome:
chrome://flags/#disable-gpu– reduces ANGLE usage until patch can be installed - Use browser isolation – Run browsers in sandboxed or virtualized environments
- Deploy web filtering – Restrict access to known malicious domains
Critical Reminder: While no active exploitation has been confirmed, the high CVSS score (8.8) warrants immediate patching .
Long-term Defensive Measures
- Maintain automatic browser updates – Ensure Chrome/Edge updates apply without manual intervention
- Implement enterprise browser management – Enforce version compliance across the organization
- Conduct vulnerability scans – Identify systems running outdated browser versions
- Educate users on risks of visiting untrusted websites
- Use endpoint protection to reduce impact of browser-based attacks
Detection & Monitoring
Recommended Detection Sources:
| Source | Purpose |
|---|---|
| Vulnerability scanners | Identify outdated browser versions |
| Browser version inventory | Track compliance across organization |
| EDR solutions | Monitor for suspicious browser activity |
| Web filtering/proxy logs | Identify visits to potential malicious domains |
Indicators of Potential Exploitation:
- Unexpected browser crashes or performance issues
- Browser accessing known malicious domains
- Unusual child processes spawned from browser processes
- Heap corruption indicators in browser crash dumps
Detection Strategy:
- Inventory all Chromium-based browsers across the organization
- Check versions against patched releases:
- Chrome:
144.0.7559.59or higher - Edge: Latest patched version aligned with Chrome 144.0.7559.59
- Debian chromium:
145.0.7632.116-1~deb12u1(bookworm) or higher
- Chrome:
- Monitor CISA KEV Catalog – not currently listed, but should be tracked
- Check network security solutions for Chrome-based browser protections
Post-Incident Response
If exploitation is suspected:
- Isolate affected system from the network immediately
- Preserve forensic evidence (browser history, cache, system logs, memory dumps)
- Update browser to the patched version
- Scan for malware – use endpoint protection to check for persistent backdoors
- Rotate credentials – change passwords for any accounts accessed on the compromised system
- Audit for persistence – check for unauthorized browser extensions, unusual startup entries, modified system files
- Assume data exposure if sensitive information was accessible during exploitation
For Enterprise Environments:
- Apply patches through enterprise deployment tools immediately
- Monitor for other compromised systems in the network
- Review security monitoring and logging capabilities to detect anomalous browser behavior
References
- https://nvd.nist.gov/vuln/detail/CVE-2026-0908
- https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop_13.html
- https://issues.chromium.org/issues/452209503
- https://security-tracker.debian.org/tracker/CVE-2026-0908
- https://www.suse.com/security/cve/CVE-2026-0908.html
- https://feedly.com/cve/CVE-2026-0908
- https://app.opencve.io/cve/CVE-2026-0908
- https://vulnerability.circl.lu/vuln/GHSA-4HF5-R2XH-WQ7Q
- https://security.alpinelinux.org/vuln/CVE-2026-0908
- https://cwe.mitre.org/data/definitions/416.html
بررسی آماری آسیب پذیری CVE-2026-0908 در کشور ایران
محصول آسیب پذیر: مرورگرهای مبتنی بر Chromium که از کتابخانه گرافیکی ANGLE استفاده میکنند
میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول
تحلیل دادههای StatCounter در سال ۲۰۲۶ حاکی از آن است که اکوسیستم مرورگرهای دسکتاپ در ایران، بهطور انحصاری در اختیار خانواده کرومیوم قرار دارد. این گروه از مرورگرها بیش از 82.24 درصد سهم بازار را به خود اختصاص دادهاند. جالب توجه است که گوگل کروم بهتنهایی با سهم 78.33 درصدی، فاصلهای معنادار با رقبا داشته و پرمصرفترین مرورگر وب در کشور به شمار میرود.
میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)
تعداد در زمان نگارش گزارش
| موتور جستجو | Dork | تعداد |
| site:.ir “Google Chrome” | 615,200 | |
| site:.ir “Chrome” “update” | 425,000 |
وجود نمایندگی در ایران
شرکتهای توسعه دهنده مرورگرهای مبتنی بر Chromium (Google، Microsoft، Brave Software، Opera و Vivaldi) هیچکدام دفتر رسمی یا نمایندگی در ایران ندارند. کاربران ایرانی برای دریافت و به روزرسانی این مرورگرها عمدتاً به وب سایتهای رسمی، فروشگاه های اپلیکیشن (مانند Google Play Store) و مخازن نرم افزاری سیستم عامل های مختلف مراجعه می کنند. هیچ گونه پشتیبانی رسمی از طرف شرکت سازنده در کشور وجود ندارد.
میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران
اگرچه آمار رسمی و دقیقی از تعداد سیستمهای آسیبپذیر در ایران وجود ندارد، اما شواهد زیر نشاندهنده سطح قابل توجه ریسک است.
- استفاده گسترده از Chromium در ایران: مرورگرهای مبتنی بر Chromium با سهم بیش از 82٪ از بازار مرورگرهای دسکتاپ، غالبترین پلتفرم مرورگر وب در ایران محسوب میشوند. Chrome به تنهایی با سهم 78.33٪، پرمصرفترین مرورگر در کشور است. این سهم بالا به این معناست که دهها میلیون کاربر ایرانی به طور بالقوه در معرض این آسیبپذیری قرار دارند.
- محبوبیت در بین کاربران فارسیزبان: وجود مقالات آموزشی متعدد در وبسایتهای معتبر ایرانیو ویدیوهای آموزشی در آپارات و یوتیوب درباره نصب، تنظیمات و استفاده از مرورگرهای Chrome، Edge، Brave و Opera، نشاندهنده استقبال گسترده از این محصولات در جامعه کاربران ایرانی است.
- تخمین میزان استفاده: با توجه به تعداد کاربران مرورگرهای مبتنی بر Chromium در ایران و نرخ پایین به روزرسانی در بین کاربران عادی، میتوان تخمین زد که دست کم ۲۰ تا ۳۰ میلیون کاربر ایرانی به طور بالقوه در معرض این آسیب پذیری قرار دارند. این موضوع به ویژه با توجه به اینکه این آسیب پذیری در جهان در حال بهره برداری است و کدهای اثبات مفهوم (PoC) به صورت عمومی در GitHub در دسترس است ، فوقالعاده نگرانکننده است.
منابع
https://gs.statcounter.com/browser-market-share/desktop/iran