CISA ostrzega przed aktywnie wykorzystywanymi lukami w Google Chrome. Administracja USA nakazuje pilne aktualizacje

Amerykańska agencja Cybersecurity and Infrastructure Security Agency (CISA) dodała dwie podatności przeglądarki Google Chrome do katalogu Known Exploited Vulnerabilities (KEV), czyli listy luk aktywnie wykorzystywanych przez cyberprzestępców.

Chodzi o następujące podatności:

• CVE-2026-3909 – błąd typu out-of-bounds write w bibliotece graficznej Skia
• CVE-2026-3910 – podatność w silniku JavaScript i WebAssembly V8

Obie luki mają wysoki poziom zagrożenia (CVSS 8.8) i – według informacji od Google – są już wykorzystywane w rzeczywistych atakach.

Jak działają podatności

Pierwsza z luk (CVE-2026-3909) dotyczy biblioteki Skia, która odpowiada za renderowanie grafiki w przeglądarce. Błąd może prowadzić do uszkodzenia pamięci po otwarciu specjalnie przygotowanej strony HTML.

Druga podatność (CVE-2026-3910) znajduje się w silniku V8, który odpowiada za wykonywanie kodu JavaScript. Atakujący może wykorzystać ją do uruchomienia złośliwego kodu w sandboxie przeglądarki poprzez odpowiednio spreparowaną stronę internetową.

Google poinformowało, że szczegóły techniczne ataków nie zostały ujawnione, aby ograniczyć ryzyko dalszego wykorzystywania luk przez cyberprzestępców.

Aktualizacja przeglądarki

Producent wydał już poprawki bezpieczeństwa w nowych wersjach Chrome:

• 146.0.7680.75/76 – Windows i macOS
• 146.0.7680.75 – Linux

Aktualizacja jest wdrażana stopniowo w kanale stabilnym.

Termin dla instytucji federalnych

Na podstawie dyrektywy BOD 22-01 CISA nakazała agencjom federalnym USA usunięcie podatności do 27 marca 2026 r.

Choć obowiązek dotyczy instytucji rządowych, eksperci zalecają również firmom prywatnym sprawdzenie swoich systemów i jak najszybszą aktualizację przeglądarki, aby uniknąć potencjalnych ataków.

---

Źródło:
Security Affairs