W poniedziałek Google ogłosiło nową aktualizację Chrome 146, usuwającą osiem poważnych podatności związanych z bezpieczeństwem pamięci.
Na pierwszym miejscu znalazł się CVE-2026-4673 – błąd typu heap buffer overflow w WebAudio, za którego zgłoszenie badacz otrzymał nagrodę bug bounty w wysokości 7000 dolarów.
Ten sam badacz odkrył i zgłosił również CVE-2026-4677, czyli błąd odczytu poza zakresem (out-of-bounds read) w WebAudio, jednak Google poinformowało, iż wysokość nagrody za to zgłoszenie nie została jeszcze ustalona.
Najnowsza aktualizacja Chrome usuwa także błąd odczytu poza zakresem w CSS (CVE-2026-4674), błąd typu heap buffer overflow w WebGL (CVE-2026-4675), trzy podatności typu use-after-free w Dawn, WebGPU i FedCM (CVE-2026-4676, CVE-2026-4678 oraz CVE-2026-4680), a także błąd przepełnienia liczby całkowitej (integer overflow) w Fonts (CVE-2026-4679).
Poprawki dla wszystkich luk zostały zawarte w wersjach Chrome 146.0.7680.164/165 dla systemów Windows i macOS oraz w wersji 146.0.7680.164 dla systemu Linux.
Użytkownikom zaleca się jak najszybszą aktualizację przeglądarki, ponieważ podatności w Chrome często bywają wykorzystywane w atakach.
Dwa tygodnie temu Google udostępniło awaryjną aktualizację, która usuwała dwa błędy typu zero-day w Chrome, odkryte wewnętrznie zaledwie kilka dni po wprowadzeniu Chrome 146 na produkcję.
Firma nie ujawniła szczegółów dotyczących tych dwóch podatności (otrzymały numery CVE-2026-3909 i CVE-2026-3910), jednak luki odkryte przez Google często są wykorzystywane przez komercyjnych dostawców systemu szpiegującego. Dlatego jeszcze raz – aktualizujcie jak najszybciej!
