شناسه CVE-2026-11645 :CVE
CWE-787 & CWE-125 :CWE
yes :Advisory
منتشر شده: ژوئن 8, 2026
به روز شده: ژوئن 8, 2026
امتیاز: 8.8
نوع حمله: Out-of-bounds Read and Write

اثر گذاری: Remote code execution(RCE)
حوزه: مرورگرها
برند: Google
محصول: Chrome
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب ‌پذیری CVE-2026-11645 یک ضعف امنیتی با شدت High در موتور اجرای JavaScript و WebAssembly موسوم به V8 در مرورگر Google Chrome است. این آسیب ‌پذیری از نوع Out-of-Bounds Read and Write بوده و به مهاجم از راه دور اجازه می ‌دهد تنها با ترغیب کاربر به بازدید از یک صفحه HTML دستکاری ‌شده، باعث خرابی حافظه شده و کد دلخواه خود را در محدوده Sandbox مرورگر اجرا کند. گوگل اعلام کرده است که پیش از انتشار وصله امنیتی، از این آسیب ‌پذیری به صورت واقعی (In-the-Wild) سوء استفاده شده است؛ به همین دلیل این آسیب‌پذیری در فهرست Known Exploited Vulnerabilities (KEV) نیز قرار گرفته است.

توضیحات

آسیب ‌پذیری CVE-2026-11645 مطابق با CWE-125 (Out-of-Bounds Read) و CWE-787 (Out-of-Bounds Write) ناشی از دسترسی خارج از محدوده مجاز حافظه در موتور V8 مرورگر Google Chrome است. V8 مسئول پردازش و اجرای کدهای JavaScript و WebAssembly صفحات وب بوده و یکی از حساس ‌ترین اجزای مرورگر محسوب می ‌شود. در این آسیب ‌پذیری، پردازش داده ‌های ایجادشده توسط یک صفحه HTML مخرب می ‌تواند موجب خواندن یا نوشتن داده در خارج از محدوده بافرهای حافظه شود که نتیجه آن خرابی حافظه (Memory Corruption) خواهد بود.

در شرایط بهره‌ برداری موفق، مهاجم با طراحی یک صفحه HTML ویژه می ‌تواند هنگام اجرای JavaScript، وضعیت غیرمنتظره ‌ای در موتور V8 ایجاد کند که منجر به دسترسی خارج از محدوده حافظه شود. این وضعیت می ‌تواند امکان تغییر ساختارهای حافظه، افشای اطلاعات حساس موجود در حافظه فرآیند مرورگر یا اجرای کد دلخواه را در پردازه Renderer فراهم کند. با توجه به اینکه کد مخرب در محیط Sandbox اجرا می‌شود، اجرای کد خارج از Sandbox نیازمند زنجیره‌ سازی با آسیب‌ پذیری دیگری (Sandbox Escape) خواهد بود؛ با این حال اجرای کد در داخل Sandbox نیز می‌تواند زمینه سرقت اطلاعات کاربر، Sessionها، کوکی ‌ها و سایر داده‌ های حساس مرورگر را فراهم کند.

بر اساس بردار CVSS، این آسیب ‌پذیری از طریق شبکه قابل بهره ‌برداری بوده و مهاجم به هیچ سطح دسترسی قبلی نیاز ندارد. تنها پیش ‌نیاز حمله، تعامل کاربر و باز کردن یک صفحه وب یا HTML دستکاری ‌شده است. از آنجا که V8 تمامی کدهای JavaScript صفحات وب را اجرا می ‌کند، مهاجم می ‌تواند از طریق وب ‌سایت مخرب، تبلیغات آلوده یا صفحات فیشینگ فرآیند بهره ‌برداری را آغاز کند.

از منظر امنیت اطلاعات، این آسیب ‌پذیری بر هر سه اصل محرمانگی، یکپارچگی و دسترس ‌پذیری تأثیر قابل توجهی دارد. از نظر محرمانگی (Confidentiality) امکان دسترسی به اطلاعات موجود در حافظه پردازه مرورگر وجود دارد. از نظر یکپارچگی (Integrity) مهاجم قادر خواهد بود رفتار پردازه مرورگر را تغییر داده یا کد دلخواه اجرا کند. همچنین از نظر دسترس ‌پذیری (Availability) خرابی حافظه می ‌تواند موجب Crash شدن مرورگر یا خاتمه غیرمنتظره پردازه شود.

گوگل این آسیب‌ پذیری را در نسخه 149.0.7827.103 (و نسخه‌های متناظر منتشرشده برای سیستم‌عامل‌ های مختلف) برطرف کرده است. به دلیل سوء استفاده فعال از این آسیب‌ پذیری، جزئیات فنی کامل و گزارش اشکال تا زمان به ‌روزرسانی بخش عمده کاربران توسط گوگل محدود شده است.

CVSS

Score	Severity	Version	Vector String
8.8	CRITICAL	3.1	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

شکل 1: تفسیر جدول CVSS

لیست محصولات آسیب پذیر

Versions	Platforms	Product
prior to 149.0.7827.103	Windows	Google Chrome
prior to 149.0.7827.103	macOS	Google Chrome
prior to 149.0.7827.103	Linux	Google Chrome

لیست محصولات بروز شده

Versions	Platforms	Product
149.0.7827.103 and later	Windows	Google Chrome
149.0.7827.103 and later	macOS	Google Chrome
149.0.7827.103 and later	Linux	Google Chrome

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Google Chrome را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
615,200	site:.ir “Google Chrome”	Google Chrome

نتیجه گیری

این آسیب ‌پذیری با شدت بالا در موتور V8 مرورگر Google Chrome امکان دور زدن Sandbox و اجرای کد دلخواه را فراهم می ‌کند. با توجه به سهم بازار بسیار بالای Google Chrome در ایران و جهان، سوء استفاده موفق از این آسیب ‌پذیری می ‌تواند منجر به سرقت اطلاعات حساس کاربران، نصب بدافزارهای پایدار، و در نهایت تهدید امنیت سیستم‌ های خانگی و سازمانی شود. برای کاهش ریسک سوء استفاده از این آسیب ‌پذیری، اجرای اقدامات امنیتی زیر توصیه می‌شود:

بروزرسانی فوری مرورگر: تمامی کاربران و سازمان‌ ها باید مرورگر Google Chrome را در اسرع وقت بروزرسانی کنند. اعمال این بروزرسانی مهم ‌ترین و مؤثرترین اقدام برای رفع آسیب ‌پذیری است.
آموزش آگاهی ‌رسانی امنیتی: به کاربران آموزش داده شود تا از کلیک روی لینک‌ های مشکوک در ایمیل ‌ها، پیام ‌رسان ‌ها، یا وب ‌سایت ‌های ناشناس خودداری کنند. این اقدام می ‌تواند از وقوع حملات Drive-by Compromise جلوگیری کند.
استفاده از راهکارهای EDR و Anti-Exploit: راهکارهای امنیت اندپوینت می ‌توانند رفتارهای مشکوک مانند تلاش برای خروج از Sandbox (Sandbox Escape)، اجرای پردازه های غیرعادی توسط مرورگر، یا دسترسی غیرمجاز به حافظه را شناسایی و مسدود کنن.
استفاده از قابلیت Site Isolation: مرورگر Google Chrome دارای قابلیت Site Isolation است که هر تب را در یک پردازه جداگانه اجرا می ‌کند. اطمینان از فعال بودن این قابلیت می ‌تواند اثرگذاری حملات Sandbox Escape را محدود کند.

در نهایت، بروزرسانی سریع مرورگرهای آسیب ‌پذیر همراه با اعمال کنترل ‌های امنیتی مناسب، نظارت مستمر بر رفتار مرورگر، و آموزش کاربران، می‌تواند ریسک سوء استفاده از این آسیب ‌پذیری و تأثیر آن بر امنیت سیستم ‌ها را به حداقل برساند.

امکان استفاده در تاکتیک‌های Mitre Attack (در زمان اجرای حمله)

Reconnaissance (TA0043)

مهاجم معمولاً پیش از آغاز حمله، اهدافی را که از نسخه ‌های آسیب ‌پذیر Chrome استفاده می ‌کنند شناسایی کرده و صفحات یا وب‌ سایت ‌هایی را طراحی می ‌کند که بیشترین احتمال بازدید توسط قربانی را داشته باشند. این مرحله می ‌تواند از طریق کمپین ‌های فیشینگ یا وب ‌سایت‌ های آلوده انجام شود.

Initial Access (TA0001)

دسترسی اولیه زمانی حاصل می ‌شود که قربانی صفحه HTML یا وب ‌سایت مخرب را با نسخه آسیب ‌پذیر Chrome باز کند. بهره ‌برداری تنها به تعامل کاربر (بازدید از صفحه) نیاز دارد و مهاجم احتیاجی به احراز هویت یا دسترسی قبلی به سیستم ندارد.

Execution (TA0002)

کد JavaScript طراحی ‌شده توسط مهاجم باعث فعال شدن نقص Out-of-Bounds در موتور V8 شده و در صورت موفقیت، امکان اجرای کد دلخواه در پردازه Renderer و داخل Sandbox مرورگر فراهم می ‌شود.

Defense Evasion (TA0005)

اجرای کد در محیط Sandbox مرورگر و استفاده از پردازه ‌های قانونی Chrome می‌تواند شناسایی فعالیت مخرب را برای برخی ابزارهای امنیتی دشوارتر کند. در حملات پیشرفته، این آسیب ‌پذیری معمولاً به ‌عنوان بخشی از زنجیره بهره ‌برداری همراه با آسیب‌پذیری Sandbox Escape مورد استفاده قرار می ‌گیرد.

Impact (TA0040)

در صورت موفقیت حمله، مهاجم قادر خواهد بود اطلاعات حساس کاربر مانند کوکی ‌ها، نشست ‌های احراز هویت، داده ‌های موجود در حافظه مرورگر یا سایر اطلاعات پردازش ‌شده توسط Renderer را در معرض خطر قرار دهد. همچنین خرابی حافظه می ‌تواند موجب Crash مرورگر یا اختلال در عملکرد آن شود و در سناریوهای زنجیره ‌ای، زمینه اجرای کد خارج از Sandbox را نیز فراهم کند.

منابع

گزارش اثبات آسیب‌پذیری CVE-2026-11645

اطلاعات آسیب‌پذیری

عنوان: اجرای کد از راه دور در Sandbox مرورگر از طریق Out-of-Bounds Read/Write در موتور V8

شناسه: CVE-2026-11645

وضعیت مشاوره: Patch Available / In-the-Wild Exploitation

امتیاز: CVSS: 8.8 (High)

محصول: Google Chrome

محصول / نسخه‌های آسیب‌پذیر

در نسخه‌های زیر:

Google Chrome (Windows/Linux) نسخه‌های قبل از 149.0.7827.102
Google Chrome (macOS) نسخه‌های قبل از 149.0.7827.103

محیط‌های درگیر

کلیه سازمان ‌هایی که از مرورگرهای مبتنی بر Chromium در محیط ‌های کاری استفاده می‌کنند
کلیه کاربران مرورگرهای مبتنی بر Chromium در ویندوز، مک، لینوکس
کاربرانی که به وب ‌سایت ‌های ناشناس یا لینک ‌های مشکوک مراجعه می‌ کنند

کامپوننت‌های آسیب‌پذیر

V8 JavaScript Engine
WebAssembly Runtime
JavaScript Memory Management
Heap Memory Processing Components

ریشه مشکل (Root Cause Analysis)

ریشه آسیب ‌پذیری یک خطای مدیریت حافظه در موتور V8 مرورگر Chrome است که منجر به Out-of-Bounds Read و Out-of-Bounds Write می ‌شود. مهاجم از طریق یک صفحه HTML و JavaScript دستکاری ‌شده می ‌تواند خارج از محدوده بافرهای تخصیص ‌یافته حافظه دسترسی پیدا کند. این موضوع امکان افشای اطلاعات حافظه، تخریب ساختارهای داخلی V8 و در نهایت اجرای کد دلخواه در فرآیند Renderer مرورگر را فراهم می ‌کند. در صورت زنجیره شدن با یک Sandbox Escape، مهاجم قادر خواهد بود کنترل کامل سیستم قربانی را به دست آورد.

بخش آسیب‌پذیر

رفتار ناامن سیستم:

موتور V8 در حین پردازش محتوای HTML/JavaScript، به دلیل نقص در بررسی مرزهای حافظه، امکان خواندن و نوشتن خارج از محدوده بافر تخصیص ‌یافته را فراهم می ‌کند. این رفتار ناامن باعث می ‌شود مهاجم با هدایت کاربر به یک صفحه وب مخرب، بدون نیاز به تعامل اضافی، کد دلخواه خود را در محیط سندباکس مرورگر اجرا کند.

نحوه سوءاستفاده مهاجم:

مهاجم یک صفحه HTML حاوی کد مخرب طراحی می‌کند
کاربر قربانی با مرورگر آسیب ‌پذیر از این صفحه بازدید می‌ کند
JavaScript مخرب باعث Trigger شدن نقص Out-of-Bounds می‌شود
حافظه پردازه Chrome خراب می‌شود (Memory Corruption)
مهاجم قادر به اجرای کد در Sandbox مرورگر می‌شود

نقش این آسیب‌پذیری در زنجیره حمله

این آسیب‌پذیری یک نقطه ورود اولیه (Initial Access) بسیار خطرناک و یک ابزار اجرای کد از راه دور (Remote Code Execution) در زنجیره حمله محسوب می‌شود. با توجه به نمره CVSS 8.8 (بالا)، ماهیت شبکه‌ای، بدون نیاز به احراز هویت، بدون نیاز به تعامل کاربر (به جز بازدید از صفحه)، و تأیید بهره ‌برداری فعال در دنیای واقعی (In-the-Wild)، این آسیب ‌پذیری یک تهدید جدی و فوری برای تمام کاربران مرورگرهای مبتنی بر Chromium محسوب می‌شود.

پیش‌نیازهای بهره‌برداری (Prerequisites)

استفاده از نسخه آسیب‌پذیر Chrome
بازدید کاربر از صفحه HTML مخرب
فعال بودن JavaScript مرورگر
عدم نصب وصله امنیتی

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

تمام دسترسی ‌های حافظه در V8 باید با بررسی دقیق مرزها (Bounds Checking) همراه باشند
در صورت تشخیص دسترسی خارج از محدوده، پردازش باید با خطا متوقف شود و اجازه اجرای کد مخرب را ندهد
متوقف ‌سازی اجرای اسکریپت هنگام تشخیص شرایط غیرمعتبر
اصل Fail Secure، هرگونه تلاش برای دسترسی به حافظه خارج از محدوده باید منجر به پایان ایمن پردازش شود
پیاده ‌سازی Memory Safe Patterns و استفاده از ابزارهای تشخیصی مانند AddressSanitizer در فرآیند توسعه
مکانیزم‌ های امنیتی مانند Site Isolation و Sandbox باید به گونه ‌ای طراحی شوند که حتی در صورت بهره ‌برداری از V8، از دسترسی به سیستم میزبان جلوگیری کنند

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

به ‌روزرسانی Google Chrome به نسخه ‌های پچ ‌شده
به ‌روزرسانی سایر مرورگرهای مبتنی بر Chromium به آخرین نسخه ارائه ‌شده
محدودسازی دسترسی کاربران به وب‌ سایت ‌های ناشناس

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

فعال‌ سازی به ‌روزرسانی خودکار مرورگر
پیاده‌ سازی و تقویت راهکارهای EDR (Endpoint Detection and Response) برای شناسایی رفتارهای مشکوک مرتبط با بهره ‌برداری از مرورگر
آموزش کاربران در خصوص خطرات باز کردن لینک‌ های ناشناس و دانلود فایل‌ های غیرقابل اعتماد
استفاده از ابزارهای ad-blocking و anti-malvertising برای کاهش سطح حمله از طریق تبلیغات مخرب
اجرای راهکارهای Web Filtering برای مسدودسازی وب ‌سایت ‌های مخرب شناخته ‌شده
غیرفعال کردن جاوااسکریپت برای وب ‌سایت‌ های ناشناس

اقدامات بلندمدت برای کاهش ریسک:

تدوین و اجرای سیاست ” به‌روزرسانی خودکار مرورگر ” (Automated Browser Update) برای تمام سیستم ‌های سازمان
پیاده ‌سازی Application Control برای محدود کردن اجرای برنامه ‌های ناشناس
استقرار سیستم ‌های تشخیص نفوذ مبتنی بر هاست ( HIDS ) برای پایش تغییرات غیرعادی در پردازه های مرورگر
آموزش تیم ‌های عملیاتی در خصوص خطرات آسیب ‌پذیری ‌های مرورگر و نحوه شناسایی و پاسخ به آن‌ها
پیاده ‌سازی فرآیندهای منظم تست نفوذ (Penetration Testing) و ارزیابی امنیتی برای کشف زودهنگام آسیب ‌پذیری ‌های مشابه در زیرساخت

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

Crash های غیرعادی Chrome
رخدادهای Access Violation در V8
افزایش غیرعادی مصرف حافظه مرورگر
اجرای پردازه های فرزند غیرمنتظره از Chrome
ارتباطات شبکه مشکوک پس از بازدید از صفحات وب خاص

منابع پیشنهادی برای مانیتورینگ و پایش:

لاگ ‌های crash مرورگر
سیستم ‌های SIEM برای جمع ‌آوری و تحلیل مرکزی لاگ‌ ها
راهکارهای EDR (Endpoint Detection and Response) مانند CrowdStrike، SentinelOne، یا Microsoft Defender for Endpoint
ابزارهای مانیتورینگ شبکه برای شناسایی درخواست‌ های مشکوک به دامنه‌ های غیرمعمول
راهکارهای IPS/IDS با امضاهای اختصاصی
CISA Known Exploited Vulnerabilities Catalog
اسکنرهای آسیب ‌پذیری برای شناسایی نسخه ‌های مرورگر قدیمی
Browser Telemetry Logs

واکنش به حادثه (Incident Response)

ایزوله ‌سازی فوری، سیستم آسیب ‌دیده را از شبکه جدا کنید تا از حرکت جانبی مهاجم جلوگیری شود
جمع ‌آوری و حفظ لاگ ‌های crash مرورگر، لاگ ‌های شبکه برای تحلیل فارنزیک (Forensics)
بررسی وجود فایل ‌های مخرب یا تغییرات غیرمجاز در سیستم
بازنشانی تمام رمزهای عبور کاربران، توکن‌های session، و هر گونه اعتبار دسترسی
نصب فوری وصله امنیتی و به‌روزرسانی فوری مرورگر
بررسی یکپارچگی فایل‌ های سیستمی و شناسایی باینری‌های غیرمجاز
اسکن کامل سایر سیستم ‌های شبکه برای شناسایی علائم مشابه یا دسترسی مهاجم به آن‌ ها
مستندسازی کامل حادثه (زمان وقوع، نشانه‌ها، اقدامات انجام‌شده، درس‌آموخته‌ها) و گزارش به مدیریت ارشد و تیم واکنش سریع (CSIRT)

جریان حمله (Attack Flow)

در نمودار زیر (شکل ۱)، مهاجم یک صفحه HTML مخرب طراحی می ‌کند که شامل کد JavaScript ویژه برای Trigger کردن نقص Out-of-Bounds در موتور V8 است. قربانی پس از بازدید از صفحه، اسکریپت را اجرا می‌کند. نقص حافظه منجر به خراب شدن Heap و در نهایت اجرای کد دلخواه در Renderer Process مرورگر می ‌شود. مهاجم سپس می‌تواند از آسیب ‌پذیری دیگری برای خروج از Sandbox و دستیابی به کنترل کامل سیستم استفاده کند.

شکل 1: جریان اجرای آسیب پذیری

اثبات مفهوم (PoC) — کاملاً غیرمخرب

آزمایشگاه تخصصی Vulnerbyte، این آسیب‌پذیری را در محیط ایزوله و کنترل‌شده با استفاده از نسخه آسیب‌پذیر بررسی و اجرا کرده است

این آزمایشگاه شامل نسخه آسیب‌پذیر Chromeاست
اجرای مرورگر در محیط آزمایشگاهی
باز کردن فایل CVE-2026-11645.html
مشاهده Crash یا Trigger شدن وضعیت Memory Corruption
بررسی رفتار مرورگر در DevTools
اجرای PoC در محیط آزمایشگاهی منجر به crash شدن مرورگر در سامانه آسیب‌پذیر شد
این اثبات مفهوم صرفاً توصیفی و آموزشی بوده و شامل تغییرات مخرب نمی‌شود

شکل 2: اجرای POC

رفع مسئولیت

این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوب‌های قانونی از محتوای آن ممنوع است.

منابع

https://www.cve.org/CVERecord?id=CVE-2026-11645

https://nvd.nist.gov/vuln/detail/CVE-2026-11645

https://x.com/xvonfers/status/2064341055500173776

https://github.com/0xBlackash/CVE-2026-11645

https://cwe.mitre.org/data/definitions/125.html

https://cwe.mitre.org/data/definitions/787.html

https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop_0153744567.html

https://issues.chromium.org/issues/506689381

Chromium V8 Engine

CVE-2026-11645 – Out-of-Bounds Read/Write in V8 JavaScript Engine Leading to Sandbox Escape and Remote Code Execution

Affects

Google Chrome and all Chromium-based browsers
Versions:
- Google Chrome (Windows/Linux): prior to 149.0.7827.102
- Google Chrome (macOS): prior to 149.0.7827.103
- Microsoft Edge: prior to 149.0.4022.69
- Brave, Vivaldi, Opera and other Chromium-based browsers (need vendor confirmation)
Components:
- V8 JavaScript and WebAssembly engine
Files:
- V8 memory management routines handling bounds checking
Functions:
- Improper validation of array indices and memory access patterns during JavaScript compilation and execution

Description

CVE-2026-11645 is a critical high-severity zero-day vulnerability in the V8 JavaScript engine, discovered by an anonymous researcher and actively exploited in the wild since before June 2026 . This is the fifth Chrome zero-day patched in 2026, highlighting the continued targeting of browser engines .

The vulnerability manifests as an out-of-bounds read and write condition that occurs when processing specially crafted HTML content . The issue stems from inadequate bounds checking within V8’s memory management routines, where malicious input triggers memory access violations that can be exploited to manipulate program execution flow .

When Chrome processes malformed HTML elements or JavaScript code, the engine fails to properly validate array indices or memory access patterns, creating opportunities for attackers to read beyond allocated memory boundaries or write data to unauthorized memory locations . The vulnerability exploits the fundamental trust model between JavaScript execution and system memory management, allowing attackers to craft HTML pages that trigger memory corruption during normal browser operations .

The flaw is particularly concerning because V8 processes JavaScript from every website a user visits, making any drive-by delivery mechanism viable . The attacker needs only to direct a victim to a malicious webpage; no further user interaction is required .

Attack Vector

Primary Attack Vector:
Remote / Network (requires website access)

Attack Scenario:

An attacker creates a malicious HTML page with crafted JavaScript that triggers the out-of-bounds read/write vulnerability in V8
The attacker hosts the page on a website, compromises a legitimate site, or uses email phishing to direct victims
A victim visits the page using a vulnerable browser (Chrome, Edge, Brave, etc.)
The crafted JavaScript triggers memory corruption within V8’s execution pipeline
The attacker can then execute arbitrary code inside the browser sandbox

Key Characteristics:

Attribute	Details
Attack Vector	NETWORK
Attack Complexity	LOW
Privileges Required	NONE
User Interaction	REQUIRED (victim must visit crafted page)
Scope	UNCHANGED
CWE	CWE-125 (Out-of-bounds Read), CWE-787 (Out-of-bounds Write)
Active Exploitation	Confirmed in the wild
Exploit Availability	Unknown; technical details withheld by Google to protect users

Conditions Affecting Risk:

Any user browsing the internet with an unpatched Chromium-based browser is at immediate risk
The vulnerability can be triggered by simply visiting a webpage with no additional user action
All Chromium-based browsers (Edge, Brave, Opera, Vivaldi) share the V8 engine and remain exposed until patched

Impact

Successful exploitation allows a remote attacker to:

Execute arbitrary code inside the browser’s sandboxed environment
Read or manipulate memory beyond intended boundaries
Expose sensitive information stored in browser memory (credentials, session data)
Bypass security protections such as ASLR (Address Space Layout Randomization)
Chain with other vulnerabilities to achieve broader system compromise
Trigger browser crashes through heap corruption

Impact Area	Level	Description
Confidentiality	HIGH	Access to data in browser memory
Integrity	HIGH	Ability to modify system state
Availability	HIGH	Potential to corrupt system stability

Secondary Impacts:

Credential theft and session hijacking
Malware delivery and ransomware deployment
Espionage and surveillance activities
Bypass of browser sandbox protections designed to isolate web content from system resources

Observed Exploitation & Threat Activity

Discovery: Anonymous researcher; reported to Google
Public Disclosure: June 8-9, 2026 (emergency update release)
CVE Published: June 8, 2026
CISA KEV Catalog: Added June 9, 2026
CISA Due Date: June 23, 2026
Active Exploitation Confirmed: Yes – in the wild
Public PoC: Technical details withheld by Google until majority of users apply the update
CVSS Score: 8.8 (High) from CISA-ADP
This is the fifth Chrome zero-day of 2026

Severity & Metrics

CVSS v3.1 (CISA-ADP): High (8.8)
Attack Vector: NETWORK
Attack Complexity: LOW
Privileges Required: NONE
User Interaction: REQUIRED
Scope: UNCHANGED
Confidentiality Impact: HIGH
Integrity Impact: HIGH
Availability Impact: HIGH

Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Additional Scoring:

SSVC: Technical Impact: Total
Chromium Security Severity: High

Relevant CWE:

CWE-125 – Out-of-bounds Read
CWE-787 – Out-of-bounds Write
CWE-129 – Insufficient Bounds Checking (variant)

Patch & Vendor Status

Official Patches Available: Yes – emergency updates released June 8-9, 2026
Google Chrome:
- Windows: 149.0.7827.102 or later
- Linux: 149.0.7827.102 or later
- macOS: 149.0.7827.103 or later
Microsoft Edge: 149.0.4022.69 or later
Brave: Version 1.87.188 or later
Other Chromium browsers: Check vendor updates for patched releases

CISA KEV Catalog: Added June 9, 2026 – Required Action: Apply mitigations per vendor instructions by June 23, 2026

Patch Links:

Mitigation & Remediation

Immediate Actions

Action	Method
Update Google Chrome	Settings → About Chrome → Update (or `chrome://settings/help`)
Update Microsoft Edge	Settings → About Microsoft Edge → Update
Update Brave	Settings → About Brave → Update
Update Vivaldi/Opera	Check vendor updates
Enable automatic browser updates	Ensure browsers are configured for automatic updates
Apply enterprise browser policies	Force updates through organizational management tools

Critical Reminder: This vulnerability is actively exploited in the wild. Apply updates immediately .

Short-Term Defensive Measures

If patching cannot be applied immediately:

Avoid untrusted websites – Exercise caution when browsing
Use browser isolation – Run browsers in sandboxed or virtualized environments
Implement web filtering – Restrict access to known malicious domains
Monitor EDR alerts – Watch for suspicious browser behavior

Long-term Defensive Measures

Maintain automatic browser updates – Ensure Chrome/Edge updates apply without manual intervention
Implement enterprise browser management – Enforce version compliance across the organization
Conduct vulnerability scans – Identify systems running outdated browser versions
Educate users on risks of visiting untrusted websites
Use endpoint protection to reduce impact of browser-based attacks

Detection & Monitoring

Recommended Detection Sources:

Source	Purpose
EDR solutions	Monitor for suspicious browser activity
Vulnerability scanners	Identify outdated browser versions
Web filtering/proxy logs	Identify visits to potential malicious domains
Browser version inventory	Track compliance across organization

Indicators of Potential Exploitation:

Unexpected browser crashes or performance issues
Browser accessing known malicious domains
Unusual child processes spawned from browser processes
System compromises originating from web browsing activity
Chained exploitation leading to privilege escalation

Detection Strategy:

Inventory all Chromium-based browsers across the organization
Check versions against patched releases:
- Chrome/Linux/Windows: 149.0.7827.102 or higher
- Chrome/macOS: 149.0.7827.103 or higher
- Edge: 149.0.4022.69 or higher
Track CISA KEV Catalog – the vulnerability is listed with a June 23, 2026 due date
Monitor for technical details – Google has withheld specifics until a majority of users are protected
Check network security solutions for Chrome-based browser protections

Post-Incident Response

If exploitation is suspected:

Isolate affected system from the network immediately
Preserve forensic evidence (browser history, cache, system logs, memory dumps)
Update browser to the patched version
Scan for malware – use endpoint protection to check for persistent backdoors
Rotate credentials – change passwords for any accounts accessed on the compromised system
Audit for persistence – check for unauthorized browser extensions, unusual startup entries, modified system files
Assume data exposure if sensitive information was accessible during exploitation
Report to relevant CSIRT/CERT authorities as required

For Enterprise Environments:

Apply patches through enterprise deployment tools immediately
Monitor for other compromised systems in the network
Review security monitoring and logging capabilities to detect anomalous browser behavior

References

بررسی آماری آسیب پذیری CVE-2026-11645 در کشور ایران

محصول آسیب پذیر: موتور V8 مرورگر کروم

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

تحلیل داده‌های StatCounter در سال ۲۰۲۶ حاکی از آن است که اکوسیستم مرورگرهای دسکتاپ در ایران، به‌طور انحصاری در اختیار خانواده کرومیوم قرار دارد. این گروه از مرورگرها بیش از 82.24 درصد سهم بازار را به خود اختصاص داده‌اند. جالب توجه است که گوگل کروم به‌تنهایی با سهم 78.33 درصدی، فاصله‌ای معنادار با رقبا داشته و پرمصرف‌ترین مرورگر وب در کشور به شمار می‌رود.

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

تعداد در زمان نگارش گزارش

موتور جستجو	Dork	تعداد
Google	site:.ir “Google Chrome”	615,200
Google	site:.ir “Chrome” “update”	425,000

وجود نمایندگی در ایران

شرکت‌های توسعه ‌دهنده مرورگرهای مبتنی بر Chromium (Google، Microsoft، Brave Software، Opera و Vivaldi) هیچ‌کدام دفتر رسمی یا نمایندگی در ایران ندارند. کاربران ایرانی برای دریافت و به ‌روزرسانی این مرورگرها عمدتاً به وب‌ سایت‌های رسمی، فروشگاه ‌های اپلیکیشن (مانند Google Play Store) و مخازن نرم ‌افزاری سیستم‌ عامل ‌های مختلف مراجعه می ‌کنند. هیچ گونه پشتیبانی رسمی از طرف شرکت سازنده در کشور وجود ندارد.

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

اگرچه آمار رسمی و دقیقی از تعداد سیستم‌های آسیب‌پذیر در ایران وجود ندارد، اما شواهد زیر نشان‌دهنده سطح قابل توجه ریسک است.

استفاده گسترده از Chromium در ایران: مرورگرهای مبتنی بر Chromium با سهم بیش از 82٪ از بازار مرورگرهای دسکتاپ، غالب‌ترین پلتفرم مرورگر وب در ایران محسوب می‌شوند. Chrome به تنهایی با سهم 78.33٪، پرمصرف‌ترین مرورگر در کشور است. این سهم بالا به این معناست که ده‌ها میلیون کاربر ایرانی به طور بالقوه در معرض این آسیب‌پذیری قرار دارند.
محبوبیت در بین کاربران فارسی‌زبان: وجود مقالات آموزشی متعدد در وب‌سایت‌های معتبر ایرانیو ویدیوهای آموزشی در آپارات و یوتیوب درباره نصب، تنظیمات و استفاده از مرورگرهای Chrome، Edge، Brave و Opera، نشان‌دهنده استقبال گسترده از این محصولات در جامعه کاربران ایرانی است.
تخمین میزان استفاده: با توجه به تعداد کاربران مرورگرهای مبتنی بر Chromium در ایران و نرخ پایین به ‌روزرسانی در بین کاربران عادی، می‌توان تخمین زد که دست کم ۲۰ تا ۳۰ میلیون کاربر ایرانی به طور بالقوه در معرض این آسیب ‌پذیری قرار دارند. این موضوع به ویژه با توجه به اینکه این آسیب ‌پذیری در جهان در حال بهره ‌برداری است و کدهای اثبات مفهوم (PoC) به صورت عمومی در GitHub در دسترس است ، فوق‌العاده نگران‌کننده است.

منابع

https://gs.statcounter.com/browser-market-share/desktop/iran

CVE-2026-11645

اجرای کد از راه دور در Sandbox مرورگر از طریق Out-of-Bounds Read/Write در موتور V8

گزارش اثبات آسیب‌پذیری CVE-2026-11645

محصول / نسخه‌های آسیب‌پذیر

محیط‌های درگیر

کامپوننت‌های آسیب‌پذیر

ریشه مشکل (Root Cause Analysis)

بخش آسیب‌پذیر

رفتار ناامن سیستم:

نحوه سوءاستفاده مهاجم:

نقش این آسیب‌پذیری در زنجیره حمله

پیش‌نیازهای بهره‌برداری (Prerequisites)

رفتار مورد انتظار در حالت امن (Expected Secure Behavior)

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری برای کاهش ریسک:

اقدامات کوتاه‌مدت / میان‌مدت برای کاهش ریسک:

اقدامات بلندمدت برای کاهش ریسک:

تشخیص و مانیتورینگ (Detection & Monitoring)

نشانه‌های تلاش برای سوءاستفاده:

منابع پیشنهادی برای مانیتورینگ و پایش:

واکنش به حادثه (Incident Response)

جریان حمله (Attack Flow)

اثبات مفهوم (PoC) — کاملاً غیرمخرب

رفع مسئولیت

منابع

Chromium V8 Engine

CVE-2026-11645 – Out-of-Bounds Read/Write in V8 JavaScript Engine Leading to Sandbox Escape and Remote Code Execution

Affects

Description

Attack Vector

Impact

Observed Exploitation & Threat Activity

Severity & Metrics

Patch & Vendor Status

Mitigation & Remediation

Immediate Actions

Short-Term Defensive Measures

Long-term Defensive Measures

Detection & Monitoring

Post-Incident Response

References

بررسی آماری آسیب پذیری CVE-2026-11645 در کشور ایران

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

وجود نمایندگی در ایران

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

منابع

حمله باج‌افزاری فعالیت آسیاب‌های نیشکر دومین تولیدکننده بزرگ شکر استرالیا را متوقف کرد

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ