Google komt met update voor actief aangevallen kwetsbaarheid in Chrome

In dit artikel:

Google heeft een beveiligingsupdate uitgegeven voor een actief misbruikte kwetsbaarheid in de V8 JavaScript-engine van Chrome (CVE-2026-11645). De fout, die door een externe onderzoeker op 27 april is gemeld (beloning: 55.000 dollar), werd volgens Google al daadwerkelijk voor aanvallen gebruikt; wanneer dat misbruik precies begon, maakt het bedrijf niet openbaar. V8 draait JavaScript in Chrome en andere Chromium-browsers, waardoor zulke lekken ernstige gevolgen kunnen hebben.

Chrome kwalificeert CVE-2026-11645 als 'high': een aanvaller kan hiermee in de context van de browser code uitvoeren, waardoor bijvoorbeeld data van andere websites kan worden gelezen of aangepast en in sommige gevallen uit de sandbox kan worden ontsnapt. Voor volledige overname van een systeem is doorgaans nog een tweede kwetsbaarheid nodig, bijvoorbeeld in het onderliggende besturingssysteem.

Tegelijkertijd zijn zeventien extra lekken met het label 'kritiek' gepatcht. Die kritieke fouten kunnen wél in één stap leiden tot systeemcompromis, vaak alleen door het bezoeken van een kwaadwillende website of het laden van besmette advertenties. De kwetsbaarheden zaten verspreid in onderdelen als Bluetooth, Autofill, Gamepad, Printing, Web Apps, Views en Proxy.

Beschikbare builds: Chrome 149.0.7827.102/.103 voor macOS en Windows; Linux heeft 149.0.7827.102. Updates worden meestal automatisch uitgerold, maar dat kan dagen tot weken duren; wie direct beschermd wil zijn moet handmatig controleren en bijwerken. Microsoft Edge (ook op Chromium gebaseerd) heeft nog geen update uitgerold. Aanbeveling: update zo snel mogelijk en wees voorzichtig met links en advertenties totdat patchniveau is bereikt.