Luka w Chrome (CVE-2026-9120 ) pozwala na zdalne wykonanie kodu

Luka oznaczona jako CVE-2026-9120 otrzymała ocenę 8.8 w skali CVSS (Common Vulnerability Scoring System — skala 0-10 oceniająca powagę luki). Została zidentyfikowana w komponencie WebRTC przeglądarki Google Chrome ¹. Błąd umożliwia zdalnemu atakującemu wykonanie kodu na maszynie ofiary ².

Problem dotyczy wszystkich wersji przeglądarki na systemy desktopowe wcześniejszych niż 148.0.7778.179 ³. Google oceniło wagę zagrożenia jako „High” ⁴. Chociaż na dzień publicznego ujawnienia luki, czyli 20 maja 2026 roku ⁵, nie zaobserwowano aktywnego wykorzystania jej w atakach ⁶, dostępność publicznych informacji technicznych zwiększa ryzyko powstania działającego exploita. Polskie firmy i użytkownicy indywidualni powinni potraktować aktualizację jako priorytet.

TL;DR

• Produkt: Google Chrome, wersje wcześniejsze niż 148.0.7778.179 ³.
• Wektor ataku: Spreparowana strona HTML wykorzystująca błąd w komponencie WebRTC ^{1 2}.
• Luka: CVE-2026-9120, błąd typu „use-after-free” ¹.
• Skutek: Zdalne wykonanie kodu (RCE — Remote Code Execution) w kontekście przeglądarki, co może prowadzić do przejęcia kontroli nad sesją użytkownika ⁷.
• Wskaźniki kompromitacji (IoC): Brak publicznie znanych wskaźników. Nie odnotowano aktywnego wykorzystania luki ⁶.
• Kogo dotyczy: Użytkownicy przeglądarki Chrome na systemach desktopowych (Windows, macOS, Linux).
• Pierwszy ruch: Natychmiastowa aktualizacja przeglądarki do wersji 148.0.7778.179 lub nowszej ⁸.

Wektor ataku

Zidentyfikowana podatność to błąd zarządzania pamięcią typu „use-after-free” ¹. Występuje on w module WebRTC (Web Real-Time Communication), który odpowiada za komunikację audio/wideo bezpośrednio w przeglądarce. Atakujący może przygotować specjalną stronę internetową, która po otwarciu przez ofiarę wywołuje błąd w obsłudze pamięci.

Scenariusz ataku jest prosty i nie wymaga interakcji ze strony użytkownika poza wejściem na złośliwy adres URL. Może on zostać dostarczony np. w kampanii phishingowej lub osadzony w reklamie na popularnej stronie (malvertising). Po udanym wywołaniu błędu, atakujący zyskuje możliwość zdalnego wykonania dowolnego kodu na komputerze ofiary ².

Kod jest wykonywany w ramach procesu przeglądarki. To daje atakującemu dostęp do danych przetwarzanych przez Chrome: ciasteczek sesji, zapisanych haseł, historii przeglądania. Dalsza eskalacja uprawnień może prowadzić do pełnej kompromitacji stacji roboczej ⁷. Dla polskich firm oznacza to ryzyko kradzieży danych logowania do systemów firmowych, bankowości elektronicznej czy paneli administracyjnych.

Wskaźniki kompromitacji

Na moment publikacji tego alertu nie istnieją publiczne wskaźniki kompromitacji (IoC — Indicators of Compromise) powiązane z luką CVE-2026-9120. Analizy bezpieczeństwa nie wykazały aktywnego wykorzystywania tej podatności w realnych atakach ⁶.

Oznacza to, że nie dysponujemy listą złośliwych domen, adresów IP serwerów C2 (Command and Control — serwer kontrolujący zainfekowane maszyny) ani hashy plików, które mogłyby posłużyć do proaktywnego blokowania lub poszukiwania śladów infekcji w systemach EDR (Endpoint Detection and Response — system wykrywania zagrożeń na stacjach roboczych).

Brak IoC nie oznacza braku zagrożenia. Sytuacja może zmienić się dynamicznie, gdy tylko powstanie publicznie dostępny kod exploita. Zespoły SOC (Security Operations Center — zespół monitoringu bezpieczeństwa) powinny skupić się na monitorowaniu anomalii w zachowaniu procesów przeglądarki Chrome, a nie na poszukiwaniu znanych sygnatur.

Co zrobić w 24-48h

Rekomendowane podejście zakłada natychmiastowe działanie w celu minimalizacji ryzyka. Poniższe kroki nie zastępują pełnej konsultacji bezpieczeństwa, ale stanowią podstawę reagowania.

1. Natychmiastowa aktualizacja przeglądarki. Wszyscy użytkownicy powinni zaktualizować Google Chrome do wersji 148.0.7778.179 lub nowszej ^{9 8}. W większości przypadków przeglądarka aktualizuje się automatycznie. Aby wymusić sprawdzenie i instalację aktualizacji, należy:

   • Otworzyć menu Chrome (trzy kropki w prawym górnym rogu).
   • Wybrać Pomoc > Google Chrome – informacje.
   • Przeglądarka automatycznie sprawdzi dostępność nowej wersji i rozpocznie pobieranie. Po zakończeniu należy ponownie uruchomić aplikację.

2. Weryfikacja w środowiskach korporacyjnych. Administratorzy IT w polskich firmach powinni zweryfikować, czy centralne polityki zarządzania (np. przez GPO w Active Directory lub narzędzia MDM) nie blokują automatycznych aktualizacji. Należy wymusić aktualizację na wszystkich stacjach roboczych w organizacji. Warto sprawdzić stan aktualizacji za pomocą skryptów lub systemów do zarządzania zasobami IT.

   3. Komunikacja wewnętrzna. Zalecamy wysłanie krótkiego komunikatu do pracowników, informującego o konieczności ponownego uruchomienia przeglądarki w celu sfinalizowania aktualizacji. Jest to szczególnie istotne w kontekście pracy zdalnej, gdzie komputery mogą nie być regularnie restartowane.

3. Monitorowanie i przegląd logów. Mimo braku konkretnych IoC, zespoły bezpieczeństwa powinny zwrócić uwagę na nietypowe zachowania procesów chrome.exe. Obejmuje to uruchamianie nietypowych procesów potomnych (np. powershell.exe, cmd.exe), nawiązywanie połączeń sieciowych do nietypowych lokalizacji czy próby zapisu plików w folderach systemowych. Tego typu działania mogą wskazywać na udaną eksploitację.

   Źródła

4. https://nvd.nist.gov/vuln/detail/CVE-2026-9120

5. https://radar.offseq.com/threat/cve-2026-9120-use-after-free-in-google-chrome-b7516d6d

Źródła

Zobacz też

• Krytyczne luki w DHTMLX: RCE i odczyt plików
• CVE-2026-1220: Pilna aktualizacja Chrome, luka dotyczy też Edge i Opery
• Krytyczna luka w Kids Online Store: RCE przez upload plików (CVE-2026-40750)

Footnotes

1. Luka CVE-2026-9120 to błąd typu „use after free” w komponencie WebRTC przeglądarki Google Chrome. — https://nvd.nist.gov/vuln/detail/CVE-2026-9120 ↩ ↩² ↩³ ↩⁴

2. Zdalny atakujący może wykorzystać tę lukę do wykonania dowolnego kodu poprzez spreparowaną stronę HTML. — https://nvd.nist.gov/vuln/detail/CVE-2026-9120 ↩ ↩² ↩³

3. Luka dotyczy wersji Google Chrome wcześniejszych niż 148.0.7778.179. — https://nvd.nist.gov/vuln/detail/CVE-2026-9120 ↩ ↩²

4. Luka została sklasyfikowana jako „High” pod względem bezpieczeństwa przez Chromium. — https://nvd.nist.gov/vuln/detail/CVE-2026-9120 ↩

5. Publiczne ujawnienie luki nastąpiło 20 maja 2026 roku. — https://radar.offseq.com/threat/cve-2026-9120-use-after-free-in-google-chrome-b7516d6d ↩

6. Nie zgłoszono żadnych aktywnych exploitów dla tej luki. — https://radar.offseq.com/threat/cve-2026-9120-use-after-free-in-google-chrome-b7516d6d ↩ ↩² ↩³

7. Potencjalne skutki udanego wykorzystania luki to zdalne wykonanie kodu w kontekście przeglądarki Chrome, co może prowadzić do pełnego przejęcia środowiska użytkownika. — https://radar.offseq.com/threat/cve-2026-9120-use-after-free-in-google-chrome-b7516d6d ↩ ↩²

8. Użytkownicy powinni zaktualizować Chrome do wersji 148.0.7778.179 lub nowszej, aby załatać lukę. — https://radar.offseq.com/threat/cve-2026-9120-use-after-free-in-google-chrome-b7516d6d ↩ ↩²

9. Wersja 148.0.7778.179 lub nowsza Google Chrome rozwiązuje ten problem. — https://radar.offseq.com/threat/cve-2026-9120-use-after-free-in-google-chrome-b7516d6d ↩