Google heeft spoedige beveiligingsupdates vrijgegeven om twee zero-day kwetsbaarheden in Chrome te verhelpen die actief worden misbruikt in aanvallen. Volgens een beveiligingsadvies van Google zijn exploits voor beide kwetsbaarheden, CVE-2026-3909 en CVE-2026-3910, al in het wild aanwezig.

De eerste kwetsbaarheid (CVE-2026-3909) betreft een out-of-bounds write in Skia, een open-source 2D grafische bibliotheek die verantwoordelijk is voor het weergeven van webinhoud en gebruikersinterface-elementen. Deze fout kan door aanvallers worden misbruikt om de browser te laten crashen of zelfs om code uit te voeren. De tweede kwetsbaarheid (CVE-2026-3910) is een onjuiste implementatie in de V8 JavaScript en WebAssembly engine. Google ontdekte beide beveiligingslekken en bracht binnen twee dagen patches uit voor gebruikers van het Stable Desktop-kanaal, met nieuwe versies voor Windows (146.0.7680.75), macOS (146.0.7680.76) en Linux (146.0.7680.75).

Hoewel Google aangeeft dat de update enige tijd kan duren voordat alle gebruikers deze ontvangen, was de patch op het moment van controle direct beschikbaar. Gebruikers kunnen de browser handmatig bijwerken of automatische updates inschakelen zodat de patch bij de volgende start wordt geïnstalleerd. Google deelt geen verdere details over de aanvallen waarbij de zero-days worden misbruikt, omdat toegang tot bugdetails beperkt blijft totdat de meeste gebruikers zijn bijgewerkt. Dit zijn de tweede en derde zero-days die dit jaar actief worden misbruikt en door Google zijn opgelost. Eerder dit jaar werd ook al een zero-day in Chrome verholpen die verband hield met een iterator invalidatie bug in CSSFontFeatureValuesMap.