Alertă Google Zero-Day pentru 3,5 miliarde de utilizatori Chrome – Atacuri în Desfășurare

Google a emis o actualizare de securitate de urgență pentru browserul Chrome, după confirmarea a două vulnerabilități zero-day care sunt deja exploatate de atacatori. Iată ce trebuie să știi și cum să îți protejezi datele.

Deși actualizările săptămânale de securitate sunt ceva obișnuit încă din 2023, atunci când Google lansează un al doilea patch la doar 48 de ore după primul, înseamnă că situația este una gravă. Compania a confirmat nu mai puțin de două vulnerabilități de tip zero-day care vizează utilizatorii Chrome și recunoaște că exploit-urile sunt deja folosite în atacuri cibernetice.

Google a anunțat că, începând cu Chrome 153, actualizările stabile vor trece la un program bilunar, reducând la jumătate intervalul actual. Menționez acest lucru deoarece o astfel de actualizare a fost lansată pe 10 martie, incluzând nu mai puțin de 29 de remedieri pentru vulnerabilități. Actualizarea anterioară fusese publicată pe 3 martie. Acum, Google a confirmat o actualizare de urgență care abordează vulnerabilitățile CVE-2026-3909 și CVE-2026-3910, ambele fiind de tip zero-day. Cititorii fideli știu că acest lucru înseamnă că atacurile erau deja în desfășurare înainte de lansarea patch-ului, chiar înainte ca Google să fi conștientizat existența acestor breșe.

Iată ce informații avem și ce măsuri trebuie să ia cei 3,5 miliarde de utilizatori ai browserului Google Chrome.

Google confirmă că CVE-2026-3909 și CVE-2026-3910 sunt deja expuse

Deși accesul total la detaliile tehnice ale acestor noi vulnerabilități zero-day va fi, după cum spune Google, „restricționat până când majoritatea utilizatorilor vor fi actualizat”, iată ce știm cu siguranță.

În primul rând, ambele vulnerabilități au un scor ridicat de severitate în sistemul Common Vulnerability Scoring System și afectează componente esențiale ale tehnologiei de bază a browserului Chrome.

În al doilea rând, aceste zero-day-uri au fost descoperite intern de Google, nu de cercetători externi în securitate, așa cum se întâmplă de obicei.

CVE-2026-3909 este ceea ce cunoaștem drept o vulnerabilitate de memorie out-of-bounds, asociată de obicei cu execuția de cod de la distanță atunci când este exploatată de atacatori. În acest caz, vulnerabilitatea se află în componenta bibliotecii grafice a Chrome, numită Skia, care este folosită pentru a reda atât interfața cu utilizatorul, cât și conținutul web. Un exploit ar putea fi declanșat, similar cu vulnerabilitatea CVE-2026-3913 despre care avertizam recent, simpla vizitare a unei pagini web malițioase de către utilizator fiind suficientă.

CVE-2026-3910, pe de altă parte, se găsește într-o componentă la fel de critică a Chrome, cunoscută sub numele de V8. Acesta este motorul JavaScript al browserului și, ca atare, o țintă preferată a hackerilor atunci când apare oportunitatea. OpenCVE descrie acest zero-day ca fiind o vulnerabilitate de implementare inadecvată care ar putea permite „unui atacator remote să execute cod arbitrar în interiorul unui sandbox printr-o pagină HTML special concepută”.

Google a plătit 81,6 milioane de dolari pentru descoperirea vulnerabilităților

Deși ultimele două zero-day-uri au fost descoperite chiar de Google, programul Vulnerability Reward Program (VRP), care oferă recompense bănești cercetătorilor externi pentru a descoperi și raporta vulnerabilități, a împlinit 15 ani anul trecut. În această perioadă, a acordat cercetătorilor suma incredibilă de 81,6 milioane de dolari, iar numai în 2025, totalul a depășit 17 milioane de dolari. Cea mai mare recompensă individuală plătită în 2025 a fost acordată a doi cercetători care au reușit să găsească erori logice în mecanismele de comunicare inter-proces ale Chrome, cu demonstrarea exploatării. În total, peste 100 de cercetători în securitate au fost recompensați cu 3.716.750 de dolari pentru vulnerabilități care au afectat Chrome.

Din fericire, Google are un VRP dedicat pentru Chrome, iar anul trecut au fost adăugate premii și pentru descoperirea vulnerabilităților legate de inteligența artificială. Scopul general al programului rămâne acela de a sta cu un pas înaintea amenințărilor emergente și de a consolida postura de securitate a produselor și serviciilor Google, ceea ce este posibil doar cu ajutorul comunității de cercetare în securitate.

Ce trebuie să facă utilizatorii Google Chrome imediat

Ai putea crede că nu trebuie să faci nimic, deoarece Google a început deja procesul de implementare a actualizării de securitate pentru toți utilizatorii. Lucrurile nu stau însă chiar atât de simplu. Pentru început, Google a anunțat că această actualizare de securitate va fi lansată „în următoarele zile/săptămâni”. Mai mult, va trebui să vă asigurați că browserul este repornit pentru ca actualizarea să fie activată după ce ajunge la tine.

Am mai spus-o și cu siguranță o voi repeta: vulnerabilitățile zero-day nu trebuie subestimate niciodată. Cursul de acțiune recomandat este, așadar, să accesezi meniul cu trei puncte al browserului, să navighezi la Ajutor | Despre Google Chrome. Această acțiune verifică existența actualizărilor (în acest caz, versiunile 146.0.7680.75/76 pentru Windows/Mac și 146.0.7680.75 pentru Linux) și inițiază descărcarea și instalarea acestora dacă cele mai recente corecții de securitate nu sunt deja prezente.