Google heeft een update voor Chrome 149 uitgebracht die 74 kwetsbaarheden verhelpt, waaronder een zero-day die actief wordt misbruikt. De kwetsbaarheid, geregistreerd als CVE-2026-11645, betreft een ernstige out-of-bounds lees- en schrijffout in de V8 JavaScript-engine. Hiermee kan een aanvaller op afstand willekeurige code uitvoeren binnen een sandbox door een speciaal vervaardigde HTML-pagina te gebruiken.

Hoewel er geen details bekend zijn over de aanvallen die deze kwetsbaarheid uitbuiten, is het waarschijnlijk dat kwaadwillenden deze zero-day combineren met een sandbox escape-kwetsbaarheid om volledige controle te verkrijgen. Volgens de advisory van Google werd deze zero-day eind april gemeld door een anonieme onderzoeker, die eerder ook andere Chrome-kwetsbaarheden rapporteerde. Voor de verantwoordelijke melding ontving de onderzoeker een beloning van 55.000 dollar.

Dit is de vijfde zero-day in Chrome die in 2026 is misbruikt, naast CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 en CVE-2026-5281. Het aantal door Google zelf ontdekte kwetsbaarheden in Chrome is de afgelopen maanden sterk gestegen, waarschijnlijk mede door het gebruik van AI-ondersteunde technieken. De meeste van de in deze update gepatchte kwetsbaarheden zijn als kritiek of hoog ingeschaald en werden door Google gevonden. Als gevolg hiervan heeft Google recent de basis bug bounty voor Chrome-kwetsbaarheden verlaagd.