Google repareert kritiek Chrome-lek, vierde zero-day van dit jaar
Google heeft een beveiligingsupdate voor Chrome uitgebracht die 21 kwetsbaarheden verhelpt. Daaronder zit een zogeheten zero-day: een lek dat al actief werd misbruikt voordat er een patch beschikbaar was. Het gaat om CVE-2026-5281, een fout in de grafische component Dawn.
Volgens Google bevat de update negentien kwetsbaarheden met een hoge ernst en twee met een gemiddelde ernst. De meeste zijn in maart gemeld door externe onderzoekers. De actief misbruikte kwetsbaarheid, CVE-2026-5281, zit in Dawn, de implementatie van de WebGPU-standaard die Chromium gebruikt om webapps direct met de grafische hardware van een systeem te laten werken. Die laag speelt een belangrijke rol bij moderne webgraphics en GPU-versnelling in de browser.
Use-after-free-probleem
Het probleem is een zogeheten use-after-free-fout. Daarbij probeert software geheugen te gebruiken dat al eerder is vrijgegeven. Als een aanvaller dat moment weet te manipuleren, kan hij de inhoud van dat geheugen beïnvloeden. In het gunstigste geval leidt dat tot een crash, maar in sommige scenario's kan het ook worden gebruikt om eigen code uit te voeren of de beveiligingsisolatie van de browser te doorbreken.
Omdat Dawn direct betrokken is bij grafische verwerking via de GPU, kan een kwaadwillende webpagina in theorie misbruik maken van zo'n fout via WebGPU-functionaliteit. Dat kan leiden tot crashes, fouten in het geheugen of ander onverwacht gedrag van Chrome. Aanvallers combineren dit soort fouten soms met andere lekken om de beveiliging van de browser verder te omzeilen.
Details voorlopig beperkt
Google bevestigt dat er exploitcode voor CVE-2026-5281 in omloop is, maar geeft geen details over de aanvallen. Dat gebeurt vaker bij actief misbruikte kwetsbaarheden. Google maakt voorlopig nog niet alle technische details van het lek bekend, zodat eerst zoveel mogelijk gebruikers de update kunnen installeren.
Vierde Chrome zero-day van 2026
CVE-2026-5281 is de vierde Chrome-zero-day die Google dit jaar heeft gepatcht. Eerder verschenen al noodupdates voor CVE-2026-2441, CVE-2026-3909 en CVE-2026-3910. In heel 2025 werden in totaal acht actief misbruikte Chrome-lekken gerepareerd.
De update naar Chrome 146.0.7680.177/178 wordt gefaseerd uitgerold via het Stable-kanaal. Volgens Google kan het enkele dagen tot weken duren voordat alle gebruikers de nieuwe versie automatisch ontvangen, maar toen ID.nl vanmorgen handmatig checkte, konden we de update meteen binnenhalen.
