Google heeft een noodupdate uitgebracht voor Google Chrome om twee ernstige beveiligingslekken te dichten. Volgens het bedrijf worden beide kwetsbaarheden al actief misbruikt, wat de snelle patch verklaart.
De lekken kregen de namen CVE-2026-3909 en CVE-2026-3910. Google ontdekte de problemen zelf en wist vrij snel een update klaar te zetten voor de stabiele desktopversie van Chrome.
Het eerste lek zit in Skia, een open-source grafische bibliotheek die Chrome gebruikt om webpagina’s en interface-elementen te tekenen. Door een fout waarbij gegevens buiten de grenzen van het geheugen kunnen worden geschreven, kan een aanvaller de browser laten crashen. In sommige gevallen zou zo’n bug zelfs misbruikt kunnen worden om eigen code uit te voeren op het systeem van een gebruiker.
Het tweede lek bevindt zich in V8, de JavaScript- en WebAssembly-engine van Chrome. Google omschrijft het als een fout in de implementatie van bepaalde functies. Veel technische details geeft het bedrijf voorlopig niet vrij, maar ook deze kwetsbaarheid kan volgens Google misbruikt worden in aanvallen.
De patches zijn ondertussen verwerkt in Chrome 146.0.7680.75 voor Windows en Linux en 146.0.7680.76 voor macOS. Zoals wel vaker bij Chrome-updates gebeurt, wordt de nieuwe versie stap voor stap uitgerold. Het kan dus nog even duren voordat alle gebruikers de update automatisch binnenkrijgen.
Wie niet wil wachten, kan in Chrome zelf handmatig controleren op updates. Dat doe je door het menu te openen via de drie puntjes rechts bovenaan en vervolgens op ‘Help’ en ‘Over Google Chrome’ te klikken. Na een herstart van de browser wordt de nieuwe versie meteen geïnstalleerd.
Het gaat ondertussen al om de tweede en derde zeroday die Google dit jaar in Chrome heeft moeten dichten. In februari werd ook CVE-2026-2441 gepatcht, een fout in de verwerking van bepaalde CSS-fontinstellingen. Vorig jaar repareerde Google in totaal acht zerodays die al in het wild werden misbruikt. Verschillende daarvan werden ontdekt door de Google Threat Analysis Group, een onderzoeksteam dat zich bezighoudt met het opsporen van geavanceerde digitale aanvallen.
Google maakte deze week trouwens ook bekend dat het in 2025 meer dan 17 miljoen dollar uitbetaalde aan beveiligingsonderzoekers via zijn bug bounty-programma, waarmee het onderzoekers beloont die kwetsbaarheden in zijn software melden.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
