Google heeft een noodupdate uitgerold voor een ernstige kwetsbaarheid in Chrome die actief werd misbruikt in zero-day-aanvallen. Het gaat om de eerste zero-day die de zoekgigant dit jaar moet patchen.
In beveiligingsadvies laat Google weten dat er een exploit voor CVE-2026-2441 in omloop is. Details over de aanvallen zelf worden voorlopig niet vrijgegeven. Volgens de commitgeschiedenis van Chromium gaat het om een zogenoemde use-after-free-kwetsbaarheid. Het lek werd gemeld door beveiligingsonderzoeker Shaheen Fazim en ontstond via een iterator-invalidatiefout in CSSFontFeatureValuesMap, de Chrome-implementatie van CSS-lettertypefuncties.
Als hackers er misbruik van maken, kan de kwetsbaarheid leiden tot browsercrashes, weergaveproblemen, datacorruptie of ander onvoorspelbaar gedrag. Dat opent de deur voor verdere aanvallen, afhankelijk van hoe de fout wordt misbruikt. Opvallend is dat in de commitmelding staat dat de patch het ‘directe probleem’ aanpakt, maar dat er nog bijkomend werk nodig is dat wordt opgevolgd in een afzonderlijke bugtracking-entry. Dat suggereert dat het om een voorlopige oplossing gaat, of dat er nog meer onderzoek nodig is om een totaalbeeld te krijgen.
De patch werd geclassificeerd als ‘cherry-picked’, wat betekent dat ze met voorrang werd teruggeplaatst in de stabiele versie van Chrome in plaats van te wachten op een volgende grote release. Die aanpak wijst er doorgaans op dat het risico reëel en urgent is, zeker wanneer een kwetsbaarheid al actief wordt uitgebuit.
Google geeft aan dat toegang tot technische details voorlopig beperkt blijft totdat het merendeel van de gebruikers de update heeft geïnstalleerd. Die beperking kan ook langer blijven gelden als de kwetsbaarheid zich bevindt in een externe bibliotheek waar andere projecten eveneens afhankelijk van zijn en nog geen oplossing hebben uitgerold.
De fix is inmiddels beschikbaar voor gebruikers van het Stable Desktop-kanaal. Windows- en macOS-gebruikers krijgen versie 145.0.7632.75/76 aangeboden, terwijl Linux-gebruikers update 144.0.7559.75 ontvangen. De uitrol gebeurt gefaseerd en kan enkele dagen tot weken duren. Wie niet handmatig wil updaten, kan Chrome automatisch laten controleren op updates. De installatie gebeurt in elk geval pas wanneer je de browser herstart. Om handmatig te updaten, open je rechtsboven in Chrome het menu via de drie puntjes. Vervolgens klik je op ‘Help’ en ‘Over Google Chrome’. Daar zou de browser dan de update moeten starten (soms moet het manueel).
Hoewel dit de eerste actief misbruikte Chrome-kwetsbaarheid van 2026 is, had Google vorig jaar de handen vol. In 2025 werden in totaal acht zero-days gepatcht die in het wild werden misbruikt. Verschillende daarvan werden gerapporteerd door Googles Threat Analysis Group (TAG), die vooral spywarecampagnes en gerichte aanvallen op risicogroepen onderzoekt.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
