Google komt met update voor actief aangevallen kwetsbaarheden in Chrome

In dit artikel:

Google heeft op 10 maart twee actief misbruikte kwetsbaarheden in Chrome verholpen: CVE-2026-3909 en CVE-2026-3910, gevonden in respectievelijk de Skia-graphics engine en de V8 JavaScript-engine. Skia tekent tekst en afbeeldingen in de browser; V8 voert JavaScript uit. Beide fouten kregen door Google een impactclassificatie van “hoog”, wat inhoudt dat een aanvaller binnen de browsercontext code kan uitvoeren — bijvoorbeeld gegevens van andere sites lezen of wijzigen of proberen uit de sandbox te ontsnappen — al is om volledig een systeem te kapen meestal nog een extra kwetsbaarheid in het besturingssysteem nodig.

Google deelt geen details over de waargenomen aanvallen. De fixes zitten in Chrome 146.0.7680.75/76 voor Windows en macOS en 146.0.7680.75 voor Linux. Op de meeste machines worden die updates automatisch uitgerold, maar dat kan tot ongeveer zestig dagen duren; wie direct wil patchen moet handmatig controleren (bijv. via chrome://settings/help of Help → Over Google Chrome). Voor Chromium-afgeleide browsers zoals Microsoft Edge is op het moment van schrijven nog geen update beschikbaar. Aanbevolen: zo snel mogelijk bijwerken en alert blijven op updates voor andere Chromium-browsers.