Nicolai Busekist
To alvorlige zero-day-fejl i Chrome kan udnyttes via skadelige websites, hvorfor brugerne opfordres til at opdatere med de samme.
Google har udsendt en hasteopdatering til Google Chrome på desktop, der retter to alvorlige zero-day-sårbarheder, der allerede bliver udnyttet i angreb. Det skriver MalwareBytes.
Begge fejl kan udnyttes eksternt og kræver kun, at en bruger besøger en ondsindet hjemmeside. Fordi angrebet har lav kompleksitet, vurderes risikoen i praksis at være højere end normalt.
Opdateringen gælder Chrome på Windows, macOS og Linux. De nye versionsnumre er 146.0.7680.75/76 for Windows og macOS samt 146.0.7680.75 for Linux. Brugere, der allerede har denne version eller nyere installeret, er beskyttet mod sårbarhederne.
Chrome opdaterer som udgangspunkt automatisk, men opdateringer som denne kan dog blive forsinket, hvis browseren sjældent genstartes, eller hvis opdateringsprocessen bliver afbrudt.
Google anbefaler derfor, at alle brugere manuelt kontrollerer for opdateringer. Det kan gøres ved at åbne menuen i Chrome, gå til indstillinger og vælge ‘Om Chrome’. Hvis en opdatering er tilgængelig, vil den blive downloadet automatisk, hvorefter browseren skal genstartes.
De to sikkerhedsfejl er registreret som CVE-2026-3909 og CVE-2026-3910. Den første fejl findes i Skia, Chromes grafiske bibliotek, der bruges til at gengive webindhold og brugergrænseflader. Ifølge Google kan fejlen føre til hukommelseskorruption og i sidste ende gøre det muligt at køre kode i browseren.
Den anden sårbarhed ligger i V8-motoren, som bruges til at afvikle JavaScript og WebAssembly. En særligt udformet HTML-side kan i dette tilfælde give en angriber mulighed for at udføre vilkårlig kode inden for V8-miljøet.
Skia og V8 er begge centrale komponenter i Chrome og er derfor ofte mål for angreb, da de ligger mellem webindhold og brugerens system. Google oplyser, at begge fejl blev opdaget internt og rettet kort tid efter rapporteringen.
Sikkerhedseksperter anbefaler samtidig generelle forholdsregler, som at undgå mistænkelige links, holde software opdateret og bruge sikkerhedssoftware med webbeskyttelse. Brugere af andre Chromium-baserede browsere kan forvente lignende opdateringer inden længe.
