CVE-2026-11645 Chrome-kwetsbaarheid
Google heeft noodbeveiligingsupdates uitgebracht om een andere actief misbruikte zero-day-kwetsbaarheid in de Chrome-browser aan te pakken. Het probleem, met de aanduiding CVE-2026-11645, is de vijfde zero-day-kwetsbaarheid in Chrome die door het bedrijf is verholpen sinds begin 2026.
Volgens Google bevestigt bewijs dat een exploit die misbruik maakt van deze kwetsbaarheid al wordt gebruikt bij daadwerkelijke aanvallen. Het probleem werd anoniem aan het bedrijf gemeld, waarna een oplossing via het Stable Desktop-kanaal werd uitgerold.
De bijgewerkte versies worden momenteel wereldwijd uitgerold voor Windows (149.0.7827.102), macOS (149.0.7827.103) en Linux (149.0.7827.102). Het kan echter enkele dagen of zelfs weken duren voordat alle Chrome-gebruikers de update ontvangen.
Voor gebruikers die updates niet handmatig installeren, is Chrome zo ontworpen dat het bij de volgende keer opstarten van de browser automatisch controleert op beschikbare beveiligingspatches en deze toepast.
Inhoudsopgave
Binnenin CVE-2026-11645: een gevaarlijk defect in een V8-motor.
De ernstige kwetsbaarheid is ontstaan door een lees- en schrijffout buiten de toegestane geheugenlimieten in de V8 JavaScript-engine van Chrome. Aanvallers kunnen de fout misbruiken via speciaal ontworpen HTML-pagina's, waardoor ze mogelijk willekeurige code kunnen uitvoeren binnen de sandbox-omgeving van de browser.
Succesvolle exploitatie kan leiden tot heap-corruptie, waardoor aanvallers toegang krijgen tot geheugen buiten de bedoelde grenzen. Dit gedrag kan gevoelige informatie blootleggen, browsercrashes veroorzaken of verdere kwaadwillige activiteiten mogelijk maken.
Naast ongeautoriseerde toegang tot het geheugen kan de kwetsbaarheid ook worden misbruikt om beveiligingsmaatregelen zoals Address Space Layout Randomization (ASLR) te omzeilen, waardoor de kans op het uitvoeren van code toeneemt wanneer deze wordt gecombineerd met andere zwakke punten.
Beperkte openbaarmaking ter bescherming van gebruikers
Hoewel Google heeft erkend dat de kwetsbaarheid actief wordt misbruikt, heeft het bedrijf nog geen technische details over de aanvallen openbaar gemaakt. De toegang tot informatie over de bug en gerelateerde bronnen blijft mogelijk beperkt totdat een aanzienlijk deel van de Chrome-gebruikers de beveiligingsupdate heeft geïnstalleerd.
Beperkingen kunnen ook van kracht blijven als de betreffende code zich bevindt in bibliotheken van derden die door andere projecten worden gebruikt en die nog geen eigen oplossingen hebben geïmplementeerd.
Een groeiende lijst met zero-day-dreigingen in 2026
CVE-2026-11645 voegt zich bij een aantal andere zero-day-vulnerabilities in Chrome die dit jaar actief zijn misbruikt:
- CVE-2026-2441 – Een kwetsbaarheid voor het ongeldig maken van iterators in CSSFontFeatureValuesMap, verholpen in februari.
- CVE-2026-3909 – Een schrijffout buiten de toegestane geheugenlimieten in de Skia 2D-grafische bibliotheek, die in maart is misbruikt.
- CVE-2026-3910 – Een kwetsbaarheid door onjuiste implementatie die de V8 JavaScript- en WebAssembly-engine treft en die ook in maart is misbruikt.
- CVE-2026-5281 – Een use-after-free-kwetsbaarheid in Dawn, Chromiums platformonafhankelijke WebGPU-implementatie, die in april is verholpen.
De voortdurende strijd van Chrome tegen zero-day exploits
De nieuwste noodupdate benadrukt de aanhoudende dreiging van zero-day-kwetsbaarheden die moderne webbrowsers treffen. In de loop van 2025 heeft Google acht extra zero-day-kwetsbaarheden in Chrome aangepakt die in de praktijk werden misbruikt. Verschillende van deze kwetsbaarheden werden geïdentificeerd door Google's Threat Analysis Group (TAG), een gespecialiseerd team dat bekend staat om het opsporen van geavanceerde cyberespionageoperaties en spywarecampagnes.
De voortdurende ontdekking van actief misbruikte kwetsbaarheden onderstreept het belang van tijdige browserupdates en snelle herstelmaatregelen voor de bescherming van gebruikers tegen steeds veranderende cyberdreigingen.
