Google heeft beveiligingsupdates voor de Chrome-browser uitgebracht om twee ernstige zero-day kwetsbaarheden te verhelpen die in het wild werden misbruikt. Het gaat om een out-of-bounds write in de Skia 2D graphics library en een kwetsbaarheid in de V8 JavaScript- en WebAssembly-engine, beide met een CVSS-score van 8.8. Deze kwetsbaarheden maken het mogelijk voor aanvallers om via speciaal vervaardigde HTML-pagina's geheugen te manipuleren en willekeurige code uit te voeren binnen de sandbox.

De kwetsbaarheden, CVE-2026-3909 en CVE-2026-3910, werden door Google zelf op 10 maart 2026 ontdekt en gemeld. Details over de exploitatie en de daders zijn niet openbaar gemaakt om verdere misbruik te voorkomen. Google bevestigt dat er actieve exploits in omloop zijn. Deze updates volgen kort op een eerdere patch voor een zero-day in de CSS-component van Chrome (CVE-2026-2441). Sinds het begin van het jaar heeft Google daarmee drie zero-days in Chrome verholpen die actief werden uitgebuit. Gebruikers wordt geadviseerd hun Chrome-browser zo snel mogelijk bij te werken naar versie 146.0.7680.75/76 voor Windows en macOS, en 146.0.7680.75 voor Linux. Ook gebruikers van andere Chromium-gebaseerde browsers zoals Microsoft Edge, Brave, Opera en Vivaldi dienen de updates te installeren zodra deze beschikbaar zijn.