Google heeft donderdag een spoedupdate voor Chrome 146 aangekondigd die twee zero-day kwetsbaarheden verhelpt die actief worden misbruikt. De twee ernstige beveiligingsproblemen, geregistreerd als CVE-2026-3909 en CVE-2026-3910 met een CVSS-score van 8.8, werden door Google op 10 maart ontdekt. Volgens het bedrijf bestaan er al exploits voor beide kwetsbaarheden in het wild.

CVE-2026-3909 betreft een out-of-bounds write-fout in de Skia graphics library. Deze kan via kwaadaardige HTML-pagina's geheugen corrupt maken, wat kan leiden tot het uitvoeren van willekeurige code of crashes. CVE-2026-3910 is een onjuiste implementatie in de V8 JavaScript-engine, waarmee aanvallers eveneens kwaadaardige HTML-pagina's kunnen maken om willekeurige code uit te voeren. V8-kwetsbaarheden worden vaak gebruikt bij sandbox escape-aanvallen. Google heeft geen details vrijgegeven over de wijze van exploitatie, maar Chrome-bugs die door Google worden gevonden, worden regelmatig door commerciële spywareleveranciers misbruikt.

Beide kwetsbaarheden zijn opgelost in Chrome-versies 146.0.7680.75/76 voor Windows en macOS, en versie 146.0.7680.75 voor Linux. Ook is de patch opgenomen in Chrome voor Android versie 146.0.76380.115. De spoedupdate volgde twee dagen nadat Chrome 146 naar het stabiele kanaal werd gepromoveerd, waarin al 29 kwetsbaarheden werden verholpen. Deze eerdere update bevatte onder meer een kritieke fout in WebML, diverse ernstige problemen in WebML, Web Speech, Agents, WebMCP, Extensions, TextEncoding, MediaStream, WebMIDI en WindowDialog, naast meerdere middel- en laag-risico kwetsbaarheden.

Google heeft ongeveer 210.000 dollar aan beloningen uitbetaald aan onderzoekers die de bugs rapporteerden, hoewel het totale bedrag mogelijk hoger ligt omdat betalingen voor tien kwetsbaarheden niet zijn vrijgegeven. Zo ontving beveiligingsonderzoeker Tobias Wienand 76.000 dollar voor het melden van twee WebML-kwetsbaarheden. Andere onderzoekers kregen 43.000 en 36.000 dollar voor het melden van ernstige bugs in respectievelijk WebML en Web Speech.