Google heeft eerder deze week ten onrechte gemeld dat een actief misbruikte kwetsbaarheid in Chrome was verholpen. Inmiddels is een nieuwe update beschikbaar gesteld om gebruikers alsnog te beschermen tegen deze beveiligingsrisico's.

Op 12 maart waarschuwde Google voor twee ernstige beveiligingslekken in Chrome, aangeduid als CVE-2026-3909 en CVE-2026-3910. Deze kwetsbaarheden bevinden zich in de Skia graphics engine en de V8 JavaScript-engine, beide cruciale onderdelen van de browser. De impact van deze lekken is door Google als hoog ('high') beoordeeld, wat betekent dat een aanvaller mogelijk code kan uitvoeren binnen de context van de browser. Dit kan leiden tot het uitlezen of aanpassen van data van andere websites en het stelen van gevoelige informatie. Hoewel deze kwetsbaarheden ernstige risico's met zich meebrengen, zijn ze op zichzelf niet voldoende voor volledige systeemovername; daarvoor is een aanvullende kwetsbaarheid in het besturingssysteem nodig.

Google gaf aanvankelijk aan dat beide kwetsbaarheden waren opgelost in Chrome-versies 146.0.7680.75/76 voor Windows en macOS en 146.0.7680.75 voor Linux. Later corrigeerde het bedrijf deze melding en stelde dat alleen CVE-2026-3910 in deze versies was verholpen. De patch voor CVE-2026-3909 is beschikbaar in Chrome 146.0.7680.80 voor alle genoemde besturingssystemen. Updates worden doorgaans automatisch geïnstalleerd, maar dit kan bij kwetsbaarheden met een hoge impact tot zestig dagen duren. Gebruikers die direct beschermd willen zijn, wordt aangeraden handmatig te controleren op updates. Voor Microsoft Edge, dat ook op Chromium is gebaseerd, is nog geen update beschikbaar.