Google patcht eerste Chrome zero-day van 2026

In dit artikel:

Google heeft een noodupdate vrijgegeven voor een kritieke Chrome-kwetsbaarheid die al actief misbruikt wordt in zero-day-aanvallen. Het lek, met een CVSS-score van 8,8, treft de V8 JavaScript-engine en betreft een use-after-free door een iterator-invalidationfout in CSSFontFeatureValuesMap (Chrome’s implementatie van CSS font feature values). Onderzoekers — melding kwam van Shaheen Fazim — waarschuwen dat succesvolle exploits kunnen leiden tot browsercrashes, renderproblemen, datacorruptie of ander ongedefinieerd gedrag.

De fix is uitgerold naar het Stable Desktop-kanaal; Windows- en macOS-builds (145.0.7632.75/76) en Linux (144.0.7559.75) worden de komende dagen/weken wereldwijd verspreid. Gebruikers kunnen handmatig updaten via chrome://settings/help; de update wordt bij de volgende herstart toegepast. Google meldt bewijs van misbruik in het wild maar publiceert voorlopig weinig details totdat veel gebruikers gepatcht zijn. Het bedrijf waarschuwt ook dat er nog resterend werk kan zijn, wat suggereert dat aanvullende aanpassingen later nodig kunnen zijn. Vorig jaar repareerde Google acht vergelijkbare in-the-wild zero-days.