Google retter to aktivt udnyttede Chrome‑sårbarheder i Skia og V8

Eskil Sørensen

03.16.2026 10:18

EPSS-scorer på over 20 pct.

Google har udsendt sikkerhedsopdateringer til Chrome for at lukke to alvorlige sårbarheder, som virksomheden bekræfter er blevet udnyttet i aktive angreb. Fejlene påvirker Skia‑grafikbiblioteket og V8‑motoren og kan udnyttes via en specialdesignet HTML‑side.

Det skriver The Hacker News.

Sårbarhederne er følgende:

EUVD-2026-11734 / CVE-2026-3909 (CVSS 8.8)
En out‑of‑bounds write i Skia. Fejlen kan føre til uautoriseret hukommelsesadgang, hvis en bruger besøger en ondsindet HTML‑side. Angrebet kan udføres eksternt uden brugerinteraktion ud over sidevisningen. EPSS-scoren er 27, 12 pct.

EUVD-2026-11736 / CVE-2026-3910 (CVSS 8.8)
En fejl i implementeringen af V8‑motoren, hvor JavaScript og WebAssembly behandles. Udnyttelse giver mulighed for vilkårlig kodeeksekvering inden for Chromes sandbox‑miljø. Angrebet kan udløses via en manipuleret HTML‑side. EPSS-scoren er 21,89 pct.

Begge sårbarheder blev fundet og rapporteret af Google den 10. marts 2026. Google udgiver ingen tekniske detaljer om angrebene, da fejlene allerede udnyttes aktivt.

Opdateringen er den tredje rettelse af en aktivt udnyttet Chrome 0-dagssårbarheder i år. I februar lappede Google en use‑after‑free‑fejl i CSS‑komponenten (CVE‑2026‑2441), der ligeledes blev brugt i angreb. Samlet set viser årets første måneder, at fejl i centrale Chrome‑komponenter fortsat er attraktive mål for angribere.

Opdatering tilrådeligt

Med aktiv udnyttelse i gang og EPSS-score på over 20 pct er det tilrådeligt at opdatere, hvilket Google gør til følgende versioner:

Windows og macOS: Chrome 146.0.7680.75 eller 146.0.7680.76
Linux: Chrome 146.0.7680.75

Opdateringen installeres via Om Google Chrome efterfulgt af genstart.

Chromium‑baserede browsere som Microsoft Edge, Brave, Opera og Vivaldi vil modtage rettelser, når deres leverandører frigiver opdaterede builds.

Den amerikanske cybersikkerhedsmyndighed CISA har den 13. marts 2026 føjet begge sårbarheder til sin Known Exploited Vulnerabilities‑liste. Føderale myndigheder i USA skal derfor implementere rettelser senest 27. marts 2026.

Læs mere

https://thehackernews.com/2026/03/google-fixes-two-chrome-zero-days.html

Sårbarhed