Google heeft een omvangrijke beveiligingsupdate uitgebracht voor Chrome. De nieuwe versie dicht in totaal 382 beveiligingsproblemen in de browser voor desktop en mobiele platforms. Daarbij gaat het niet alleen om regulier onderhoud, maar ook om kwetsbaarheden met een hoge ernstscore en kritieke lekken die in het uiterste geval kunnen leiden tot het uitvoeren van code of het ontsnappen uit de beveiligde browseromgeving.
Volgens Malwarebytes is de stabiele versie van Chrome bijgewerkt naar 150.0.7871.46 en 150.0.7871.47 voor Windows en macOS, naar 150.0.7871.46 voor Linux en naar 150.0.7871.63 voor Android. Google rolt de update de komende dagen en weken verder uit. Gebruikers kunnen de installatie ook handmatig starten via het Chrome-menu, onder Instellingen en vervolgens Over Chrome. Pas na het opnieuw starten van de browser worden de beveiligingspatches daadwerkelijk actief.
Beveiligingslekken
Van de 382 opgeloste beveiligingslekken zijn er volgens Malwarebytes 358 intern door Google gevonden met behulp van technieken als fuzzing en code sanitizers. Vijftien lekken kregen het predicaat kritiek, omdat zij aanvallers mogelijk in staat konden stellen willekeurige code buiten de sandbox van Chrome uit te voeren. Die sandbox is juist bedoeld om schadelijke processen binnen de browser af te schermen van de rest van het systeem.
Een van de opvallende kwetsbaarheden is CVE-2026-13789, een zogeheten use-after-free-lek in het GPU-onderdeel van Chrome. Bij dit type fout wordt geheugen gebruikt nadat het al is vrijgegeven. In combinatie met andere kwetsbaarheden kan dat leiden tot een ontsnapping uit de sandbox. Volgens de beschrijving kon een aanvaller die het rendererproces al had gecompromitteerd, via een speciaal gemaakte HTML-pagina mogelijk verder doordringen tot buiten de beschermde browseromgeving.
Aantrekkelijke doelwitten
Hoewel Google geen aanwijzingen heeft gemeld dat de lekken al actief worden misbruikt, is snelle installatie van de update belangrijk. Browsers zijn voor aanvallers aantrekkelijke doelwitten, omdat zij dagelijks toegang hebben tot websites, downloads, extensies, webapps en zakelijke omgevingen. Een kwetsbaarheid in de browser kan gevaarlijker worden wanneer die wordt gecombineerd met een tweede lek. Vooral sandbox escapes zijn waardevol voor aanvallers, omdat zij de grens tussen browser en onderliggend systeem kunnen doorbreken.
Update
De update volgt op een eerdere grote Chrome-release waarin een maand eerder al 429 beveiligingsproblemen werden verholpen. Dat onderstreept hoe snel het patchtempo bij browsers is geworden. Beveiligingsonderzoekers beschikken over steeds betere hulpmiddelen, waaronder AI-ondersteunde analysetechnieken, om fouten in software op te sporen. Tegelijk kunnen aanvallers vergelijkbare middelen gebruiken om kwetsbaarheden sneller te vinden en te combineren.
Volgens Mallory.ai raken de opgeloste problemen uiteenlopende onderdelen van Chrome, waaronder Extensions, GPU, WebUSB, Browser, Bluetooth, Chromoting, WebGPU, ANGLE, Skia, Fullscreen en iOSWeb. De kwetsbaarheden omvatten onder meer use-after-free, type confusion, out-of-bounds access, uninitialized use en onvoldoende validatie van onbetrouwbare invoer.
Browserpatching
Voor organisaties betekent de update dat browserpatching nadrukkelijk onderdeel moet zijn van endpointbeveiliging. Zeker wanneer medewerkers Chrome gebruiken voor cloudapplicaties, interne systemen en AI-diensten, kan een niet-gepatchte browser een directe ingang vormen voor aanvallers. Gebruikers doen er daarom goed aan niet te wachten op automatische installatie, maar de update meteen te controleren en Chrome opnieuw te starten.