Google heeft een spoedupdate uitgebracht voor Google Chrome nadat een nieuwe zero-daylek actief werd misbruikt door aanvallers. Het gaat al om het vijfde Chrome-lek dit jaar waarvoor Google noodgedwongen een noodpatch moet uitrollen.
De kwetsbaarheid, geregistreerd als CVE-2026-11645, bevindt zich in de V8 JavaScript-engine van Chrome. Dat is het onderdeel van de browser dat websites en webapps helpt uitvoeren. Volgens Google kan het lek misbruikt worden via speciaal ontworpen webpagina’s die geheugen buiten de voorziene grenzen aanspreken. Daardoor kunnen aanvallers in bepaalde gevallen schadelijke code uitvoeren binnen de sandbox van Chrome.
Hoewel die sandbox normaal net bedoeld is om aanvallen af te schermen van de rest van het systeem, kan het lek alsnog gevoelige informatie blootleggen of crashes veroorzaken. In combinatie met andere kwetsbaarheden zou het ook beveiligingsmechanismen zoals ASLR kunnen omzeilen, wat verdere aanvallen eenvoudiger maakt.
Google bevestigt dat het bedrijf weet heeft van actieve aanvallen waarbij het lek al gebruikt werd. Over de precieze aanvallen of slachtoffers geeft het voorlopig geen details vrij. Dat gebeurt vaker bij zero-days: Google wacht meestal tot voldoende gebruikers de update hebben geïnstalleerd vooraleer technische details openbaar worden gemaakt.
De beveiligingsupdate wordt momenteel uitgerold naar Windows, macOS en Linux. Gebruikers op Windows en Linux krijgen versie 149.0.7827.102, terwijl macOS versie 149.0.7827.103 ontvangt. Normaal installeert Chrome updates automatisch bij een volgende herstart van de browser, maar gebruikers kunnen ook handmatig controleren op updates via ‘Over Google Chrome’ in de instellingen.
Het nieuwe lek past in een opvallende trend waarbij Chrome dit jaar al meerdere keren noodupdates moest ontvangen voor actief misbruikte kwetsbaarheden. Eerder dit jaar patchte Google al onder meer lekken in de Skia-grafische bibliotheek, WebGPU-component Dawn en andere onderdelen van de V8-engine. Verschillende van die kwetsbaarheden werden ontdekt door Googles eigen Threat Analysis Group, een team dat zich specialiseert in geavanceerde aanvallen en spywarecampagnes.
Ook in 2025 moest Google uiteindelijk acht zero-days dichten die actief in aanvallen gebruikt werden. Dat onderstreept hoe populair browsers zoals Chrome blijven bij cybercriminelen. Omdat browsers toegang hebben tot gevoelige gegevens zoals wachtwoorden, cookies en sessiegegevens, vormen ze een aantrekkelijk doelwit. Voor gebruikers blijft het advies simpel: installeer browserupdates zo snel mogelijk en herstart Chrome regelmatig, zodat beveiligingspatches effectief toegepast worden.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
