Google heeft deze week de eerste stabiele versie van Chrome 147 uitgebracht, waarin 60 kwetsbaarheden zijn verholpen. Onder deze geboden patches bevinden zich twee kritieke beveiligingslekken die beide betrekking hebben op de WebML-component van Chrome, bedoeld voor het uitvoeren van machine learning-modellen direct in de browser.

De kritieke kwetsbaarheden, gemeld door anonieme onderzoekers, betreffen een heap buffer overflow (CVE-2026-5858) en een integer overflow (CVE-2026-5859). Voor hun bevindingen ontvingen de onderzoekers elk een bug bounty van 43.000 dollar. De combinatie van de hoge beloning en de ernst van de kwetsbaarheden wijst erop dat deze mogelijk kunnen worden misbruikt voor het ontsnappen uit de sandbox en/of het uitvoeren van code op afstand.

Naast deze kritieke lekken zijn er nog 14 kwetsbaarheden met een hoge ernstgraad opgelost. Deze betroffen verschillende onderdelen van Chrome, zoals WebRTC, V8, WebAudio, Media, WebML, Angle, Skia en Blink. Ongeveer de helft van de kwetsbaarheden werd intern door Google ontdekt, terwijl de rest werd gerapporteerd door anonieme onderzoekers. Voor twee van deze kwetsbaarheden heeft Google een bug bounty toegekend: 11.000 dollar voor CVE-2026-5860 en 3.000 dollar voor CVE-2026-5861.

De overige beveiligingslekken zijn geclassificeerd als middelmatig of laag qua ernst, maar ook onder de middelzware kwetsbaarheden zit een belangrijke. Zo ontving een onderzoeker 11.000 dollar voor het melden van CVE-2026-5874, een use-after-free bug in PrivateAI. Er zijn geen aanwijzingen dat deze kwetsbaarheden al in het wild worden misbruikt.

Eerder deze maand bracht Google al een update uit voor Chrome waarin 21 kwetsbaarheden werden verholpen, waaronder een zero-day die actief werd misbruikt. Daarnaast kondigde Google deze week nieuwe beveiligingsmaatregelen aan voor sessiecookies in Chrome, bedoeld om het risico op accountcompromittering via gestolen authenticatiecookies te verminderen. Meer details over de patches zijn te vinden in de officiële release notes.