Google meldde ten onrechte dat Chrome-lek was gedicht, rolt nieuwe update uit

In dit artikel:

Google waarschuwde op 12 maart dat twee door aanvallers gebruikte beveiligingslekken in Chrome waren ontdekt (CVE-2026-3909 en CVE-2026-3910), maar heeft later toegegeven dat het aanvankelijk verkeerd meldde dat beide problemen waren opgelost. De kwetsbaarheden zitten in de Skia-grafische engine en de V8 JavaScript‑motor van de browser — componenten die respectievelijk verantwoordelijk zijn voor het weergeven van beeld/tekst en het uitvoeren van JavaScript.

Beide lekken hebben een impactniveau van “high”: een aanvaller kan binnen de context van de browser code uitvoeren, wat kan leiden tot het uitlezen of aanpassen van gegevens van andere websites of een uitbraak uit de Chrome‑sandbox. Volledige overname van een systeem vereist doorgaans nog een extra fout in het onderliggende besturingssysteem.

Google corrigeerde CVE-2026-3910 in Chrome 146.0.7680.75/76 (Windows/macOS) en 146.0.7680.75 (Linux), maar CVE-2026-3909 bleek pas gepatcht in Chrome 146.0.7680.80. Updates worden meestal automatisch uitgerold, maar dat proces kan bij hoog-risicolekken tot zestig dagen duren; wie direct beschermd wil zijn moet handmatig controleren op updates. Gebruikers van Microsoft Edge (eveneens Chromium‑gebaseerd) moeten nog op een patch wachten. Aanbevolen wordt om zo snel mogelijk te updaten en alert te blijven op verdere security-updates.