Alweer misbruikt zero-daylek gedicht in Google Chrome, 4de van 2026

De bug, geregistreerd als CVE-2026-5281, heeft te maken met een zogeheten use-after-free-probleem in Dawn. Dat is de technologie achter WebGPU in Chromium, die ervoor zorgt dat webapps rechtstreeks met de grafische kaart kunnen praten. In de praktijk kan zo’n fout leiden tot crashes van de browser, corrupte data of andere vreemde kuren tijdens het surfen. Niet meteen iets wat je als gebruiker snel opmerkt, maar wel een ingang voor aanvallers. Google bevestigt dat het zero-day-lek effectief werd misbruikt, maar houdt verdere details voorlopig achter. Dat doet het bedrijf wel vaker, om te vermijden dat het probleem nog breder wordt uitgebuit voordat iedereen de update heeft binnengehaald.

De fix zit in Chrome-versie 146.0.7680.177 en .178, die nu wordt uitgerold naar Windows, macOS en Linux. Zoals gebruikelijk kan het even duren voor de update overal beschikbaar is, al lijkt ze bij sommige gebruikers nu al op te duiken. Wie niet wil wachten, kan handmatig controleren op updates via de browserinstellingen (vervolgens Help > Over Chrome). Anders wordt de update automatisch geïnstalleerd bij een volgende herstart van de browser.

Al 4de zero-daylek

Dat dit al het vierde zero-daylek is in 2026, zegt toch iets over het huidige dreigingsniveau. Eerder dit jaar moest Google al ingrijpen voor kwetsbaarheden in onder meer de CSS-engine, de Skia grafische library en de V8 JavaScript-engine. Ter vergelijking: in heel 2025 werden er acht actief misbruikte Chrome-lekken gedicht. Vaak komen die aan het licht via Googles eigen Threat Analysis Group, die zich specialiseert in gerichte aanvallen en spywarecampagnes. Veel meer kan je als gebruiker eigenlijk niet doen: zorgen dat je browser up-to-date is.

• Lees ook: Nieuwe malware VoidStealer steelt Chrome-gegevens via slimme omweg rond beveiliging