Google Repareert Vijfde Chrome Zero-Day van 2026 Terwijl Aanvallen Toeslaan op V8-Engine

De kwetsbaarheid heeft een CVSS-score van 8.8, wat het in de categorie 'hoog risico' plaatst . Voor gebruikers betekent een succesvolle aanval dat een kwaadwillende code kan uitvoeren op het systeem met dezelfde rechten als het browserproces. Dit is doorgaans voldoende om malware te installeren, gegevens te stelen of extra aanvallen uit te voeren. Hoewel Google's openbaarmaking stelt dat het "een aanvaller op afstand toestond willekeurige code uit te voeren in een sandbox," maakt de aard van zulke lees/schrijffouten ook technieken zoals het omzeilen van ASLR (Address Space Layout Randomization) praktisch haalbaar voor aanvallers die diepere systeemtoegang zoeken .

Details van de Patch en Tijdlijn

De noodpatch werd op 8 juni 2026 uitgerold via het stabiele desktopkanaal, als onderdeel van een grotere update die in totaal 74 beveiligingslekken dicht . Google bevestigde dat er een exploit voor CVE-2026-11645 "in het wild bestaat", wat dit een uiterst dringende update maakt voor iedereen die Chrome op de desktop gebruikt .

De gepatchte versies zijn:

• Windows en macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Zoals gebruikelijk bij stabiele Chrome-updates wordt de oplossing geleidelijk over dagen en weken verspreid. Gebruikers kunnen de update ook handmatig starten via Chrome-menu > Help > Over Google Chrome.

Bug Bounty en Melding

Een anonieme beveiligingsonderzoeker die werkt onder het pseudoniem "303f06e3" ontdekte de kwetsbaarheid en rapporteerde deze op 27 april 2026 aan Google . Google keerde een beloning van $55.000 uit voor de vondst, wat in lijn is met de beloningstiers van het Chrome Vulnerability Rewards-programma voor dit soort zwaarwegende V8-geheugencorruptiebugs .

Het Grotere Beeld van Chrome Zero-Days in 2026

Met CVE-2026-11645 komt het totaal aantal actief misbruikte zero-daylekken die in 2026 alleen al in Chrome zijn gedicht op vijf . De volledige lijst tot nu toe laat een versnellend tempo van browser-aanvallen zien:

• CVE-2026-2441 (februari 2026): Een 'use-after-free'-fout in Chrome's CSS-verwerking die het via kwaadaardige HTML-pagina's mogelijk maakte om op afstand code uit te voeren in de sandbox .
• CVE-2026-3909 (12 maart 2026): Een schrijffout buiten de geheugengrenzen in Skia, de 2D-graphicsbibliotheek die aan de basis staat van Chrome's renderpijplijn .
• CVE-2026-3910 (12 maart 2026): Een bug door een onjuiste implementatie in V8 die willekeurige code-uitvoering in de browser-sandbox toestond, gedicht in dezelfde update als CVE-2026-3909 .
• CVE-2026-5281 (1 april 2026): Een 'use-after-free'-bug in Dawn, Chrome's cross-platform WebGPU-implementatie, die door het CISA op de lijst van bekende misbruikte kwetsbaarheden werd geplaatst met een deadline voor federale instanties om te patchen .
• CVE-2026-11645 (juni 2026): Het V8-lees/schrijf-zero-day dat met deze noodpatch is gedicht .

Van alle vijf kwetsbaarheden werd bevestigd dat ze actief werden misbruikt voordat de patches uitkwamen. Dit patroon zet 2026 op koers om het totale aantal Chrome-zero-days van voorgaande jaren te overtreffen, wat constante druk legt op IT-teams om hun patchcycli voor browsersoftware te verkorten .

Wat Gebruikers Nu Moeten Doen

Chrome werkt zichzelf normaal gesproken op de achtergrond bij, maar het kan dagen duren voordat de automatische uitrol elke gebruiker bereikt. Voor onmiddellijke bescherming opent u Chrome, gaat u naar het menu met de drie puntjes rechtsboven, selecteert u Help > Over Google Chrome en laat u de browser controleren op en toepassen van de beschikbare update. Het versienummer moet 149.0.7827.102 of hoger zijn op Windows en Linux, en 149.0.7827.103 of hoger op macOS .

Organisaties die Chrome-uitrollen beheren, moeten controleren of alle eindpunten de nieuwste stabiele versie ontvangen en overwegen de implementatie van deze out-of-band patch te versnellen. De bevestigde status van 'actief misbruikt' betekent dat elk systeem met een eerdere Chrome-versie blootstaat aan een actieve aanval.