Google confirmă o actualizare de securitate majoră pentru 3,5 miliarde de utilizatori Chrome De Davey Winder, colaborator senior. Colaboratorii Forbes publică analize și perspective independente ale experților. Davey Winder este un scriitor, hacker și analist veteran în domeniul securității cibernetice. Urmăriți autorul 29 martie 2026, 09:10 EDT
Actualizat la 29 martie: În urma confirmării de la Google că a lansat o actualizare de securitate de risc ridicat pentru aproape toți cei 3,5 miliarde de utilizatori ai browserului său web Chrome, acest articol a fost actualizat cu știri referitoare la dezvăluirea publică a unei vulnerabilități care afectează extensia Claude Google Chrome de la Anthropic, cunoscută sub numele de ShadowPrompt. O vulnerabilitate care avea potențialul de a permite oricărui site web cu intenții malițioase să injecteze solicitări în tăcere, fără ca utilizatorul să fie întrebat pentru orice fel de permisiune și fără a necesita niciun clic din partea acestuia. Articolul a fost acum actualizat și cu mai multe sfaturi despre cum să atenueze amenințarea extensiilor necinstite, inclusiv utilizarea propriilor protecții Google și, oh, ironia, utilizarea unei extensii Chrome care poate ajuta la detectarea semnelor de compromis atunci când un add-on valid devine rău. Iată ce trebuie să știți și să faceți.
Google a confirmat că aproape toți cei 3,5 miliarde de utilizatori ai celui mai folosit browser web din lume, Chrome, urmează să primească o actualizare de securitate care abordează nu mai puțin de opt vulnerabilități de risc ridicat. Din fericire, niciuna dintre acestea nu este de tip zero-day, așa cum s-a raportat recent, ceea ce înseamnă că nu există dovezi că vreuna dintre ele ar fi exploatată de actori rău intenționați.
Există și mai multe vești bune; Chrome aplică aceste actualizări automat. Google avertizează, totuși, că implementarea securității ar putea dura zile sau săptămâni, așa că utilizatorii sunt sfătuiți cel mai bine să înceapă procesul și să se protejeze cât mai curând posibil. Iată ce trebuie să știți și să faceți.
Srinivas Sista de la Google a confirmat că Chrome este actualizat la 146.0.7680.164/165 pentru Windows/Mac și 146.0.7680.164 pentru Linux, în timp ce Krishna Govind a făcut un anunț similar pentru utilizatorii Android, ducând aplicația la versiunea 146.0.76380.164. Deși, așa cum a declarat confirmarea actualizării de securitate Google, accesul la detaliile referitoare la cele opt vulnerabilități va fi „păstrat restricționat până când o majoritate a utilizatorilor sunt actualizați cu o soluție”, vă pot spune că acestea afectează totul, de la WebAudio, WebGL, WebGPU și CSS, chiar și componenta Chrome Fonts a fost afectată.
Cele opt vulnerabilități de securitate în sine, toate cu o evaluare de severitate ridicată a sistemului comun de evaluare a vulnerabilităților, sunt următoarele:
CVE-2026-4673: Depășire de buffer heap în WebAudio CVE-2026-4674: Citire în afara limitelor în CSS CVE-2026-4675: Depășire de buffer heap în WebGL CVE-2026-4676: Utilizare după eliberare în Dawn (parte a implementării WebGPU) CVE-2026-4677: Citire în afara limitelor în WebAudio CVE-2026-4678: Utilizare după eliberare în WebGPU CVE-2026-4679: Depășire de întreg în Fonts CVE-2026-4680: Utilizare după eliberare în FedCM (o componentă de autentificare a identității axată pe confidențialitate)
Nu sugerez că vulnerabilitățile de securitate care sunt corectate în această ultimă actualizare a Google Chrome sunt aproape la fel de critice ca CVE-2025-20435, care a pus în pericol până la 875 de milioane de utilizatori de smartphone-uri Android de a fi piratați în timp ce dispozitivul era blocat și în mai puțin de 60 de secunde, dar asta nu înseamnă că vă puteți relaxa. Toate vulnerabilitățile și expunerile comune enumerate în lista de erori de securitate, în special cele care primesc o evaluare de severitate ridicată, trebuie luate în serios. Așadar, deși Chrome va fi actualizat automat și, destul de posibil, până când citiți acest lucru, nu există nicio garanție că patch-ul a ajuns deja la dvs. Din fericire, există o modalitate de a evita orice îndoială și de a începe procesul și este foarte simplu, luând doar câteva secunde: accesați opțiunea Ajutor|Despre Google Chrome din meniul cu trei puncte din dreapta sus a ferestrei Chrome.
Și cam asta este, cam. Relansați Google Chrome pentru a activa actualizarea de securitate.
Aceasta va verifica versiunea dvs. și dacă este disponibilă vreo actualizare. Dacă da, va fi descărcată și instalată. Trebuie să relansați browserul, deoarece Google a precizat foarte clar că actualizarea de securitate nu va fi activată decât dacă faceți acest lucru.
ShadowPrompt: Exploatarea extensiei Google Chrome pentru injectarea prompt-ului 0-Click
Dacă doriți mai multe dovezi ale puterii corectării rapide (toate jocurile de cuvinte sunt intenționate) și ale divulgării responsabile a vulnerabilităților de securitate care afectează utilizatorii Chrome, nu căutați mai departe decât raportul publicat recent cu privire la ShadowPrompt. Oren Yomtov, cercetător principal de securitate la Koi, a publicat analiza tehnică completă a vulnerabilității, pe care Anthropic și Arkose Labs au corectat-o deja, în urma divulgării responsabile și private inițiale la 27 decembrie 2025.
O altă vulnerabilitate de risc ridicat, aceasta ar fi putut permite oricui folosește extensia Claude Google Chrome de la Anthropic să declanșeze solicitări AI nefaste pur și simplu vizitând un site web malițios, fără a fi necesare clicuri. „Fără clicuri, fără solicitări de permisiune. Pur și simplu vizitați o pagină, iar un atacator vă controlează complet browserul”, a confirmat Yomtov.
Lanțul de atac a implicat ceea ce raportul a descris drept o „listă de permisiuni de origine excesiv de permisivă” în extensia Google Chrome, împreună cu o vulnerabilitate de scripting cross-site într-o componentă Arkose Labs CAPTCHA. Da, CAPTCHA din nou, yikes.
Vă rugăm să citiți raportul complet dacă doriți detaliile tehnice din spatele acestuia, dar fiți siguri, pericolul a trecut, deoarece extensia Chrome a fost deja actualizată și vulnerabilitatea XSS a fost corectată. „Dacă utilizați extensia Claude Google Chrome”, a spus Yomtov, „verificați dacă versiunea instalată este 1.0.41 sau o versiune superioară, deoarece versiunile anterioare ar putea fi încă vulnerabile. Accesați chrome://extensions, găsiți extensia Claude și verificați numărul versiunii.”
Atenuarea riscului ca extensiile Google Chrome să devină necinstite
Deși, după cum sper că am arătat perfect clar, extensia Claude Google Chrome de la Anthropic a fost supusă unei vulnerabilități de securitate și nu a devenit necinstită, ultima amenințare este, din păcate, un scenariu mult prea comun pentru utilizatorii celui mai popular browser web din lume.
Nu vorbesc despre extensii care sunt malițioase de la bun început, deoarece acestea sunt ușor detectate de protecțiile din spatele scenei ale magazinului Chrome de la Google, iar excepțiile sunt foarte rare. Nu, când spun că devin necinstite, mă refer literalmente la asta: o extensie de browser legitimă anterior care s-a transformat brusc într-o amenințare de securitate.
Unul dintre cele mai frecvente motive pentru aceasta este atunci când o extensie este piratată sau, îngrijorător, vândută și cumpărată de un actor rău intenționat. Am scris despre un astfel de exemplu recent: extensia QuickLens, care a fost folosită pentru a rula căutări Google Lens din interiorul browserului Chrome în sine. Extensia și-a câștigat o insignă Google Featured, alături de un număr nu prea modest de 7.000 de utilizatori. Apoi și-a schimbat proprietarul după ce dezvoltatorul original a vândut-o, iar în doar două săptămâni, a fost lansată o nouă versiune care a fost transformată în armă cu atacuri ClickFix și cu funcționalitate de furt de informații. Extensia QuickLens, apropo, a fost eliminată din Chrome Web Store și dezactivată automat de Chrome în sine.
Pe lângă alte protecții, Google a spus că „Când utilizați Navigarea sigură Google în Chrome, primiți avertismente care vă ajută să vă protejați împotriva programelor malware, a site-urilor și extensiilor abuzive, a phishing-ului, a reclamelor malițioase și intruzive și a atacurilor de inginerie socială.” Navigarea sigură, în mod implicit, este în modul standard, care oferă „securitate împotriva pericolelor cunoscute”, conform Google. Cu toate acestea, aș recomanda să schimbați acest lucru în modul îmbunătățit, deoarece aceasta este cea mai sigură opțiune de navigare, deoarece adaugă pericole noi potențiale protecțiilor. Pentru a face modificarea configurației, pur și simplu deschideți Chrome și utilizați meniul cu trei puncte pentru a merge la Setări|Confidențialitate și securitate|Securitate|Navigare sigură.
O altă modalitate de a ajuta la atenuarea amenințării extensiilor necinstite este, și recunosc ironia, prin utilizarea unei extensii. Extensia în cauză este „Under New Management”, care este dezvoltată de ClassVSoftware. Ceea ce face și tot ceea ce face este să detecteze când extensiile Google Chrome pe care le aveți deja instalate își schimbă dezvoltatorul. Dacă se schimbă ceva, veți primi un avertisment cu insignă roșie, iar extensia va afișa informații despre dezvoltator folosind o metodă de modificare înainte și după. Desigur, extensiile pot avea modificări ale dezvoltatorilor din motive legitime, precum și din motive malițioase, dar orice vă oferă o atenționare pentru potențiale probleme este binevenit.