Twee kritieke zero-days in Chrome zijn gedicht door Google, maar ze werden wel al actief misbruikt.
Google heeft een noodupdate uitgebracht voor Google Chrome die twee ernstige kwetsbaarheden verhelpt die momenteel actief worden misbruikt in aanvallen. De kwetsbaarheden, CVE-2026-3909 en CVE-2026-3910, werden ontdekt door Google en binnen twee dagen gepatcht. Updates zijn uitgebracht voor Windows, macOS en Linux.
Kwetsbaarheden in grafische engine en JavaScript-motor
In een beveligingsadvies schrijft Google dat de eerste kwetsbaarheid, CVE-2026-3909, in Skia zit, een open-source 2D-grafische bibliotheek die Chrome gebruikt om webpagina’s en interface-elementen te renderen. Het probleem betreft een out-of-bounds write-fout die kan leiden tot een browsercrash of zelfs tot uitvoering van kwaadaardige code. De tweede kwetsbaarheid, CVE-2026-3910, bevindt zich in V8 JavaScript engine, de motor achter JavaScript en WebAssembly in Chrome.
Update rolt wereldwijd uit
De beveiligingspatch is opgenomen in Chrome-versie 146.0.7680.75 voor Windows en Linux en 146.0.7680.76 voor macOS. Volgens Google kan het enkele dagen tot weken duren voordat de update automatisch alle gebruikers bereikt, al kan die ook handmatig worden geïnstalleerd via de updatefunctie van de browser.
De twee kwetsbaarheden zijn al actief misbruikt in aanvallen, al gaf Google geen details vrij over hoe of door wie. Het zijn bovendien niet de eerste zero-days dit jaar. In februari patchte Google al CVE-2026-2441, schrijft Bleeping Computer. Het ging om een kwetsbaarheid in Chrome’s implementatie van CSSFontFeatureValuesMap die ook actief werd uitgebuit.