Nieuws
image

Google meldde ten onrechte dat Chrome-lek was gedicht, rolt nieuwe update uit

zaterdag 14 maart 2026, 09:08 door Redactie, 5 reacties

Google heeft eerder deze week ten onrechte gemeld dat een actief aangevallen kwetsbaarheid in Chrome was verholpen, en heeft nu een nieuwe update uitgerold om gebruikers te beschermen. Op 12 maart waarschuwde Google voor twee beveiligingslekken die bij aanvallen tegen Chrome-gebruikers waren ingezet, zonder details over de aanvallen zelf te geven. Het gaat om CVE-2026-3909 en CVE-2026-3910.

De beveiligingslekken zijn aanwezig in de Skia- en V8-onderdelen van de browser. Chrome gebruikt de Skia graphics engine voor het weergeven van tekst en afbeeldingen. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. In beide onderdelen zijn herhaaldelijk beveiligingslekken gevonden die al voor het beschikbaar komen van updates werden misbruikt bij aanvallen.

De impact van beide kwetsbaarheden is door Chrome beoordeeld als 'high'. Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.

Google meldde eerst dat beide kwetsbaarheden waren verholpen in Chrome 146.0.7680.75/76 voor Windows en macOS en Chrome 146.0.7680.75 voor Linux. In een update van het beveiligingsbulletin laat Google nu weten dat dit niet klopt en deze versies alleen CVE-2026-3910 verhelpen. CVE-2026-3909 is gepatcht in Chrome 146.0.7680.80 voor Windows en macOS and Chrome 146.0.7680.80 voor Linux.

Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van kwetsbaarheden met het stempel 'high' echter tot zestig dagen duren. Gebruikers die de update direct willen ontvangen zullen dan ook een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar.

Reacties (5)
Reageer met quote
14-03-2026, 09:23 door [Account Verwijderd]
Dat wekt wel de nieuwsgierigheid naar het waarom dat Google ten onrechte meldde dat de kwestbaarheid was gepatched. Een 'glitch of the pen' kan het toch niet zijn?
Reageer met quote
14-03-2026, 12:37 door Anoniem
Door Hendrik de tweede: Dat wekt wel de nieuwsgierigheid naar het waarom dat Google ten onrechte meldde dat de kwestbaarheid was gepatched. Een 'glitch of the pen' kan het toch niet zijn?
Een "glitch of the pen" misschien niet, maar het werk hoeft maar over meerdere schijven te lopen en een communicatie- of handelingsfoutje kan zoiets als dit makkelijk genoeg veroorzaken. Het security bulletin is een publicatie op een webpagina en ik neem aan ook e-mail, die zal dus een redactie hebben die de inhoud ervoor ontvangt van anderen; de wijziging in de software zelf komt van de ontwikkelaars ervan via dingen als een QA-proces en een build-proces uiteindelijk de te distribueren gecompileerde versie terecht. Twee publicaties met twee verwerkingspijplijnen qua organisatie en techniek. Er kan iemand een steekje hebben laten vallen in de pijplijn voor de software en dat te laat hebben gecorrigeerd en daar ga je: ze lopen een keer niet synchroon zoals de bedoeling was.

Je kan natuurlijk controles in het proces opnemen die dat helpen voorkomen, maar als die controles weer van menselijke handelingen afhankelijk zijn kunnen ook daar fouten in worden gemaakt. En dan kan je heel soms die opeenstapeling van foutjes hebben die de eindstreep haalt in plaats van eerder al afgevangen te worden.
Reageer met quote
14-03-2026, 16:20 door Anoniem
In een CI/CD pipelijn behoort CS te zitten, daar behoren controle processen in te zitten die dit soort mishaps moeten voorkomen, ik hamer er al jaren op maar luisteren ho-maar.
Reageer met quote
14-03-2026, 20:27 door Anoniem
"Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar"

Zojuist even Vivaldi gecontroleerd en de laatste patch heeft fixes voor beide CVE-2026-3909 & CVE-2026-3910
Reageer met quote
15-03-2026, 14:07 door Anoniem
Door Anoniem:
Door Hendrik de tweede: Dat wekt wel de nieuwsgierigheid naar het waarom dat Google ten onrechte meldde dat de kwestbaarheid was gepatched. Een 'glitch of the pen' kan het toch niet zijn?
Een "glitch of the pen" misschien niet, maar het werk hoeft maar over meerdere schijven te lopen en een communicatie- of handelingsfoutje kan zoiets als dit makkelijk genoeg veroorzaken. Het security bulletin is een publicatie op een webpagina en ik neem aan ook e-mail, die zal dus een redactie hebben die de inhoud ervoor ontvangt van anderen; de wijziging in de software zelf komt van de ontwikkelaars ervan via dingen als een QA-proces en een build-proces uiteindelijk de te distribueren gecompileerde versie terecht. Twee publicaties met twee verwerkingspijplijnen qua organisatie en techniek. Er kan iemand een steekje hebben laten vallen in de pijplijn voor de software en dat te laat hebben gecorrigeerd en daar ga je: ze lopen een keer niet synchroon zoals de bedoeling was.

Je kan natuurlijk controles in het proces opnemen die dat helpen voorkomen, maar als die controles weer van menselijke handelingen afhankelijk zijn kunnen ook daar fouten in worden gemaakt. En dan kan je heel soms die opeenstapeling van foutjes hebben die de eindstreep haalt in plaats van eerder al afgevangen te worden.

Inderdaad.
We (ik?) weten te weinig van het build/release proces van chrome om meer precies te speculeren .

Maar ergens maakt iemand een koppeling tussen een patch, het issue dat ermee gefixed wordt - welke patches gemerged worden in de release voor een bepaalde build - en het release bulletin.

Misschien was de patch (of cluster van patches) voor het probleem dat niet gefixed was niet goed getagged ("nodig voor CVE 123") , of misschien was vergeten in de build toe te voegen.
Of liep het bulletin en release plan voor - en was in het build/test proces de missende fix nog niet klaar (en dus niet in de live build) gezet - en miste iemand ergens dat het release bulletin (al) uitgang van beide fixes.

Bij Google/chrome verwacht je dat erg veel geautomatiseerd is (en dat zal ook zo zijn) ,maar uiteindelijk worden ergens door developers de vinkjes/tags gezet waar de rest van de automatiseringsketen de beslissingen mee neemt.

En ook een tweede paar ogen mist wel eens iets dat het eerste paar ook niet zag,
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components