Google heeft noodupdates uitgebracht voor een kritieke Chrome-kwetsbaarheid die actief wordt uitgebuit in zero-day-aanvallen.
De kwetsbaarheid kreeg een hoge CVSS-score van 8.8 en treft de V8 JavaScript-engine van Chrome. Securityonderzoeker Shaheen Fazim meldde de use-after-free-kwetsbaarheid. Het probleem zit in een iterator invalidation bug in CSSFontFeatureValuesMap, Chrome’s implementatie van CSS font feature values. Succesvol misbruik kan aanvallers in staat stellen browsercrashes, renderingproblemen, datacorruptie of ander ongedefinieerd gedrag te veroorzaken.
Ondanks de patch wijst Google op resterend werk. Mogelijk is het dus een tijdelijke fix of moeten gerelateerde problemen nog worden aangepakt.
Patch beschikbaar voor meerdere platforms
Google heeft de kwetsbaarheid verholpen voor gebruikers in het Stable Desktop-kanaal. Nieuwe versies worden de komende dagen of weken uitgerold naar Windows-, macOS- (145.0.7632.75/76) en Linux-gebruikers (144.0.7559.75) wereldwijd.
Gebruikers die niet handmatig willen updaten, kunnen Chrome ook automatisch laten controleren op updates via chrome://settings/help. De browser installeert de update bij de volgende herstart.
Hoewel Google bewijs vond van aanvallers die deze zero-day-flaw in het wild exploiteren, deelde het bedrijf geen aanvullende details over deze incidenten. “De toegang tot details en links over de bug kan beperkt blijven totdat de meerderheid van de gebruikers een oplossing heeft geïnstalleerd”, aldus de verklaring.
Dit is de eerste actief geëxploiteerde Chrome-beveiligingskwetsbaarheid die sinds het begin van 2026 is gepatcht. Vorig jaar pakte Google in totaal acht zero-days aan die in het wild werden misbruikt.
Tip: Kwaadaardige Chrome-extensies vermommen zich als proxydienst