Chrome moet dringend zero-day-lek dichten
Chrome zit al aan het vijfde zero-day-beveiligingslek van het jaar dat een patch nodig heeft (via Bleeping Computer). Ook hier is er al misbruik van gemaakt. In het bericht over de recentste update geeft Google ook toe dat het op de hoogte is van actief misbruik van CVE-2026-11645. Dat is namelijk de code van de kwetsbaarheid die bestempeld is als hoog risico.
Twee weken geleden meldde een anonieme beveiligingsexpert aan Google dat er een beveiligingslek was. Dat heeft de techreus nu opgelost in de jongste stabiele versies van Chrome. Die zijn nu beschikbaar voor Windows (149.0.7827.102), Mac (149.0.7827.103) en Linux (149.0.7827.102). De update komt automatisch beschikbaar in de loop van de komende dagen, maar je kan ook zelf checken. Ga daarvoor naar Instellingen (via de drie puntjes rechtsboven in het venster) > Over Chrome. Ook bij ons staat de jongste versie er intussen al op.
Google geeft niet alle details vrij
De fout zit in de V8 JavaScript-engine van Chrome en laat hackers toe om via kwaadaardige HTML-pagina’s willekeurige code uit te voeren binnen de sandbox van de browser. De kwetsbaarheid ontstond door een “out-of-bounds read and write”-probleem in de geheugenverwerking van V8. Daardoor konden aanvallers gegevens buiten de voorziene geheugenbuffer aanspreken. Dat kan niet alleen gevoelige informatie blootleggen, maar ook de browser laten crashen en verder misbruik mogelijk maken. Volgens Google konden aanvallers de bug bovendien gebruiken om beveiligingsmechanismen zoals ASLR te omzeilen, waardoor het eenvoudiger wordt om bijkomende aanvallen uit te voeren.
Google zegt bewust verdere informatie achter te houden tot een meerderheid van de Chrome-gebruikers de beveiligingsupdate heeft geïnstalleerd. Ook of externe softwarebibliotheken de bug bevatten, speelt mee in die beslissing om meer details te delen.
Vijfde zero-day van het jaar
Het gaat bovendien niet om het eerste ernstige Chrome-lek van dit jaar. Sinds januari heeft Google al meerdere zero-days moeten patchen die in aanvallen opdoken. Daarbij zaten onder meer kwetsbaarheden in CSSFontFeatureValuesMap (CVE-2026-2441), de Skia 2D-grafische bibliotheek (CVE-2026-3909) en de V8 JavaScript- en WebAssembly-engine (CVE-2026-3910). In april volgde nog een “use-after-free”-lek in Dawn, de WebGPU-implementatie van Chromium.
Ook vorig jaar kreeg Google af te rekenen met een opvallend hoog aantal zero-days in Chrome. Het bedrijf repareerde toen nog acht actief misbruikte kwetsbaarheden. Verschillende daarvan zijn ontdekt door Googles eigen Threat Analysis Group (TAG), een team dat gespecialiseerd is in het opsporen van spywarecampagnes en geavanceerde cyberaanvallen. Google roept gebruikers intussen op om Chrome zo snel mogelijk bij te werken naar de nieuwste versie.
