CVE-2026-1220: Pilna aktualizacja Chrome, luka dotyczy też Edge i Opery

20 stycznia 2026 roku Google opublikowało pozaplanową aktualizację dla swojej przeglądarki Chrome ¹. Powodem była nowo odkryta podatność o wysokiej szkodliwości, śledzona jako CVE (Common Vulnerabilities and Exposures, identyfikator publicznie znanej luki) -2026-1220 ². Luka znajduje się w silniku V8, czyli komponencie odpowiedzialnym za wykonywanie kodu JavaScript i WebAssembly, stanowiącym fundament nie tylko Chrome, ale praktycznie wszystkich popularnych dziś przeglądarek opartych na Chromium ³, ⁴.

TL;DR

• Produkt: Google Chrome, Microsoft Edge, Opera, Brave i inne przeglądarki oparte na silniku Chromium ⁴.
• Wektor: Potencjalne zdalne wykonanie kodu poprzez wizytę na specjalnie spreparowanej stronie HTML ⁵.
• Identyfikator: CVE-2026-1220, błąd typu race condition w silniku V8 ².
• Wskaźniki kompromitacji: Brak publicznych, statycznych IoC (Indicators of Compromise — wskaźniki kompromitacji). Zaleca się monitorowanie telemetrii pod kątem nietypowych awarii procesów renderera przeglądarki ⁶.
• Kogo dotyczy: Wszystkich użytkowników podatnych przeglądarek, w tym polskie firmy, administrację publiczną i użytkowników indywidualnych.
• Pierwszy ruch: Natychmiastowa aktualizacja przeglądarki do wersji 144.0.7559.96/.97 lub nowszej ⁷, ⁸.

Wektor ataku

Podatność CVE-2026-1220 to błąd typu „race condition” (wyścig) w silniku V8 ². Tego typu błędy powstają, gdy dwa lub więcej wątków programu próbuje uzyskać dostęp do tego samego zasobu w tym samym czasie, a wynik operacji zależy od nieprzewidywalnej kolejności ich wykonania. W tym przypadku, atakujący może stworzyć stronę HTML, która manipuluje tą kolejnością, prowadząc do błędu typu „type confusion” ⁵. Oznacza to, że program myli jeden typ obiektu w pamięci z innym, co może prowadzić do przejęcia kontroli nad przepływem wykonania programu i potencjalnie do zdalnego wykonania kodu (RCE — Remote Code Execution).

Silnik V8 jest wysoce zoptymalizowany. Używa agresywnej kompilacji JIT (Just-In-Time) i optymalizacji spekulacyjnych, aby przyspieszyć działanie stron internetowych ⁹. Te same mechanizmy, które czynią go wydajnym, sprawiają, że błędy bezpieczeństwa pamięci są szczególnie groźne. Błędne założenie co do typu obiektu może szybko eskalować do uszkodzenia pamięci i stworzenia stabilnego prymitywu do przeprowadzenia ataku ⁹.

Kluczowym ryzykiem operacyjnym jest tutaj cykl dystrybucji poprawek w ekosystemie Chromium ¹⁰. Google wdraża poprawkę w głównym projekcie Chromium i wydaje zaktualizowaną wersję Chrome. Jednak każdy inny producent — Microsoft (Edge), Opera Software (Opera) — musi pobrać tę zmianę, zintegrować ją z własnym kodem i dopiero wtedy wydać aktualizację dla swoich użytkowników ¹⁰. To opóźnienie tworzy okno, w którym użytkownicy przeglądarek innych niż Chrome mogą pozostawać bezbronni, mimo że poprawka jest już publicznie znana.

Wskaźniki kompromitacji

Google, zgodnie ze swoją standardową praktyką, ogranicza publiczny dostęp do szczegółów technicznych luki do czasu, aż większość użytkowników zainstaluje poprawkę ¹¹. Z tego powodu nie istnieją publicznie dostępne wskaźniki kompromitacji, takie jak hashe plików, domeny czy adresy IP serwerów C2 (Command and Control — serwer kontrolujący zainfekowane maszyny).

Telemetria wskazuje jednak, że wykorzystanie luk w silniku V8 często prowadzi do niestabilności i awarii procesu renderującego stronę ⁶. Zespoły SOC (Security Operations Center — zespół monitorowania bezpieczeństwa) powinny więc traktować nagły wzrost liczby awarii przeglądarek jako potencjalny wskaźnik próby ataku.

# Wskaźniki behawioralne (obserwacja, nie sygnatury)

- Zwiększona, niewyjaśniona liczba awarii procesów renderujących przeglądarki (awarie renderera) w logach systemowych lub narzędziach EDR.
- Nietypowe, powtarzające się zamknięcia kart lub całej przeglądarki po wizycie na określonych stronach.
- Wzmożone użycie procesora przez procesy przeglądarki bez oczywistej przyczyny, mogące wskazywać na wykonywanie złośliwego kodu w tle.

Co zrobić w 24-48h

Rekomendowane podejście zakłada natychmiastowe działanie w celu minimalizacji ryzyka. Poniższe kroki nie zastępują pełnego audytu bezpieczeństwa, ale stanowią pierwszą linię obrony.

1. Natychmiastowa aktualizacja przeglądarek. To absolutny priorytet. W przeglądarce Chrome należy wejść pod adres chrome://settings/help, aby wymusić sprawdzenie i instalację aktualizacji. Proces wymaga ponownego uruchomienia aplikacji. Należy zweryfikować, czy zainstalowana wersja to co najmniej 144.0.7559.96 ⁷.

2. Weryfikacja wszystkich przeglądarek opartych na Chromium. Problem nie dotyczy tylko Chrome. Polskie firmy i użytkownicy indywidualni masowo korzystają z Microsoft Edge, Opery czy Brave. Należy sprawdzić i zaktualizować każdą z nich. Opóźnienie w dostarczeniu łatki przez producentów tych przeglądarek jest głównym wektorem ryzyka ¹⁰.

3. Komunikacja wewnętrzna w organizacji. W polskich firmach, szczególnie w sektorze MŚP, gdzie polityki centralnego zarządzania oprogramowaniem bywają mniej rygorystyczne, kluczowe jest poinstruowanie pracowników o konieczności ręcznej weryfikacji wersji przeglądarki. Dotyczy to zwłaszcza osób pracujących zdalnie.

4. Przegląd logów EDR/telemetrii. Zespoły bezpieczeństwa powinny przeanalizować logi z ostatnich dni pod kątem anomalii w działaniu przeglądarek, w szczególności niewyjaśnionych awarii procesów ⁶.

Atrybucja

Luka została zgłoszona do Google 7 stycznia 2026 roku ¹². Zgłoszenia dokonał badacz bezpieczeństwa posługujący się pseudonimem @p1nky4745 ¹².

Źródła

Zobacz też

• Luka w Chrome (CVE-2026-9120) pozwala na zdalne wykonanie kodu
• Luka RCE w Microsoft Edge (CVE-2026-45495) – pilna aktualizacja
• Check Point: Luka CVE-2026-50752 w IKEv1 zagraża tunelom VPN

Footnotes

1. Google wydało pozaplanową aktualizację stabilnej wersji Chrome 20 stycznia 2026 roku, aby naprawić błąd w silniku V8 śledzony jako CVE-2026-1220. — https://windowsforum.com/threads/cve-2026-1220-race-in-v8-chrome-patch-and-edge-ingestion-risk.398741/ ↩

2. Luka CVE-2026-1220 to błąd typu race condition w silniku V8 przeglądarki Google Chrome. — https://nvd.nist.gov/vuln/detail/CVE-2026-1220 ↩ ↩² ↩³

3. Silnik Chromium V8 to środowisko uruchomieniowe JavaScript i WebAssembly, które jest podstawą Chrome i wszystkich przeglądarek opartych na Chromium. — https://windowsforum.com/threads/cve-2026-1220-race-in-v8-chrome-patch-and-edge-ingestion-risk.398741/ ↩

4. Luki CVE w Chromium, takie jak CVE-2026-1220, mają znaczenie poza Chrome ze względu na szerokie ponowne wykorzystanie komponentów Chromium. — https://windowsforum.com/threads/cve-2026-1220-race-in-v8-chrome-patch-and-edge-ingestion-risk.398741/ ↩ ↩²

5. Luka CVE-2026-1220 pozwalała zdalnemu atakującemu na potencjalne wykorzystanie błędu typu type confusion poprzez spreparowaną stronę HTML. — https://nvd.nist.gov/vuln/detail/CVE-2026-1220 ↩ ↩²

6. Wykorzystanie V8 często prowadzi do awarii renderera i anomalnego zachowania przeglądarki. — https://windowsforum.com/threads/cve-2026-1220-race-in-v8-chrome-patch-and-edge-ingestion-risk.398741/ ↩ ↩² ↩³

7. Luka CVE-2026-1220 została załatana w Google Chrome w wersji 144.0.7559.96/.97. — https://windowsforum.com/threads/cve-2026-1220-race-in-v8-chrome-patch-and-edge-ingestion-risk.398741/ ↩ ↩²

8. Wersje Chrome wcześniejsze niż 144.0.7559.96 są podatne na CVE-2026-1220. — https://windowsforum.com/threads/cve-2026-1220-race-in-v8-chrome-patch-and-edge-ingestion-risk.398741/ ↩

9. Błędy typu race condition i błędy logiczne związane z bezpieczeństwem pamięci są szczególnie niebezpieczne w V8 ze względu na jego agresywną kompilację JIT, optymalizacje spekulacyjne i wysoce dostrojone wewnętrzne reprezentacje. — https://windowsforum.com/threads/cve-2026-1220-race-in-v8-chrome-patch-and-edge-ingestion-risk.398741/ ↩ ↩²

10. Jednym z najbardziej uporczywych zagrożeń operacyjnych związanych z CVE w Chromium jest cykl życia upstream→downstream, gdzie Google łata Chromium, ale każdy dostawca downstream musi wdrożyć tę poprawkę i wydać własne binaria. — https://windowsforum.com/threads/cve-2026-1220-race-in-v8-chrome-patch-and-edge-ingestion-risk.398741/ ↩ ↩² ↩³

11. Szczegóły dotyczące luki mogą być ograniczone do czasu, aż większość użytkowników otrzyma poprawkę, co jest standardową praktyką w przypadku błędów o dużym wpływie, które mogą zostać wykorzystane. — https://windowsforum.com/threads/cve-2026-1220-race-in-v8-chrome-patch-and-edge-ingestion-risk.398741/ ↩

12. Luka została zgłoszona przez badacza @p1nky4745 7 stycznia 2026 roku. — https://windowsforum.com/threads/cve-2026-1220-race-in-v8-chrome-patch-and-edge-ingestion-risk.398741/ ↩ ↩²