Google va publicar el 8 de juny de 2026 una actualització de Chrome que tapa CVE-2026-11645, una errada al motor V8 que ja s’estava explotant quan va sortir el pegat. És el cinquè zero-day de Chrome corregit en el que va d’any, així que cal actualitzar sense esperar.
Què és la vulnerabilitat
El problema viu a V8, el motor de JavaScript i WebAssembly de Chrome. Es tracta d’una lectura i escriptura fora de límits (out-of-bounds), classificada com a CWE-125 i CWE-787. Una pàgina web preparada per a això pot llegir i escriure en zones de memòria que no li pertoquen i, a partir d’aquí, executar codi arbitrari dins del sandbox del navegador.
Que el codi s’executi dins del sandbox limita el dany immediat, però no el torna inofensiu. Una errada així se sol encadenar amb un segon bug d’escapament del sandbox per arribar al sistema operatiu. Per si sol ja permet manipular el que passa a la pestanya afectada i fer de primer esglaó d’una cadena d’atac.
A qui afecta i gravetat
Qualsevol versió de Chrome anterior a la 149.0.7827.103 és vulnerable. Com que Chromium és la base d’Edge, Brave, Opera, Vivaldi i altres navegadors, aquests productes també necessiten l’actualització equivalent del seu fabricant un cop la integrin.
La puntuació és CVSS 3.1 de 8.8 (alta), amb vector AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H: explotable per xarxa, baixa complexitat, sense privilegis previs i només cal que la víctima obri una pàgina. Google va confirmar que hi ha un exploit en ús real, i CISA el va afegir al seu catàleg de Known Exploited Vulnerabilities el 9 de juny de 2026 amb data límit de pegat el 23 de juny per a les agències federals dels EUA. Quan un zero-day de navegador ja s’està fent servir, la finestra entre la publicació del pegat i els atacs massius es tanca de pressa.
Mitigació i pegat
L’única solució real és actualitzar a Chrome 149.0.7827.103 o posterior. A la majoria d’instal·lacions el navegador s’actualitza sol, però val la pena forçar-ho: vés a Menú > Ajuda > Informació de Google Chrome, deixa que baixi la nova versió i reinicia el navegador. Sense aquest reinici el pegat no s’aplica del tot, i és justament el pas que més gent s’estalvia.
Si gestiones equips d’una organització, comprova que la versió desplegada a la teva flota supera la 149.0.7827.103 i revisa els navegadors derivats de Chromium per separat, perquè el seu calendari d’actualitzacions depèn de cada fabricant. No hi ha cap mitigació de configuració que substitueixi el pegat: ni desactivar JavaScript de manera selectiva ni canviar opcions de seguretat cobreixen el forat.