Google a emis o alertă de securitate critică pentru 3,5 miliarde de utilizatori ai browserului Chrome, avertizând asupra unor atacuri zero-day active. Articolul a fost actualizat în urma confirmării a două vulnerabilități zero-day în Chrome, exploatate deja de atacatori, ceea ce a dus la lansarea unei actualizări de securitate de urgență. Agenția pentru Securitate Cibernetică și Infrastructură (CISA) a îndemnat toate organizațiile să efectueze actualizarea cât mai curând posibil. Articolul include, de asemenea, detalii despre milioanele de dolari plătite cercetătorilor de securitate de către Google pentru dezvăluirea vulnerabilităților.
În timp ce actualizările de securitate săptămânale sunt o realitate încă din 2023, atunci când Google lansează o a doua actualizare de securitate pentru browserul Chrome la doar 48 de ore după prima, știi că se întâmplă ceva serios. Și așa este: Google a confirmat nu mai puțin de două vulnerabilități zero-day care vizează utilizatorii Chrome și admite că există deja exploatări în acest sens. Google a declarat că, începând cu Chrome 153, actualizările stabile vor trece la un program bisăptămânal, reducând la jumătate intervalul de timp actual. Menționez acest lucru, deoarece una a fost lansată pe 10 martie, incluzând un număr impresionant de 29 de corecții de vulnerabilități. Actualizarea anterioară de securitate a fost publicată pe 3 martie.
Acum, Google a confirmat o actualizare de securitate de urgență care abordează CVE-2026-3909 și CVE-2026-3910, ambele fiind de tip zero-day. În timp ce Microsoft are o modalitate oarecum unică de a defini zero-day, folosind o clasificare a vulnerabilităților care necesită doar ca vulnerabilitatea să fie cunoscută înainte de lansarea unui patch, mai degrabă decât să fie exploatată activ, cititorii obișnuiți vor înțelege că definiția mai larg acceptată înseamnă că atacurile reale au loc deja înainte de emiterea oricărei actualizări și înainte ca furnizorul să fie conștient de vulnerabilitatea însăși.
Iată ce știm și ce măsuri trebuie să ia 3,5 miliarde de utilizatori ai browserului Google Chrome.
**Google confirmă că CVE-2026-3909 și CVE-2026-3910 sunt deja exploatate**
Deși accesul complet la detaliile tehnice ale acestor noi vulnerabilități zero-day va fi, așa cum a spus Google, „ținut restricționat până când majoritatea utilizatorilor sunt actualizați cu o remediere”, iată ce știm.
În primul rând, ambele vulnerabilități, care au un sistem de notare comună a vulnerabilităților cu severitate ridicată și afectează componentele de bază ale tehnologiei subiacente a browserului Chrome. În al doilea rând, aceste zero-day au fost descoperite intern de Google, mai degrabă decât de cercetători externi în domeniul securității, așa cum se întâmplă cel mai adesea. În al doilea rând, aceste zero-day au fost descoperite intern de Google, mai degrabă decât de cercetători externi în domeniul securității, așa cum se întâmplă cel mai adesea. Acest lucru nu este deloc surprinzător, având în vedere că Google poate pretinde că are una dintre cele mai bune echipe interne de securitate de pe planetă în ceea ce privește cercetarea vulnerabilităților. Project Zero, care a fost fondat în 2104, nu se concentrează doar pe produsele Google, ci și pe vulnerabilitățile zero-day din toate sistemele majore de hardware și software. „Efectuăm cercetări de vulnerabilități pe software popular, cum ar fi sistemele de operare mobile, browserele web și bibliotecile open source”, a confirmat Project Zero, folosind rezultatele „pentru a corecta vulnerabilitățile grave de securitate, pentru a ne îmbunătăți înțelegerea modului în care funcționează atacurile bazate pe exploatări și pentru a conduce îmbunătățiri structurale pe termen lung în domeniul securității”.
CVE-2026-3909 este ceea ce se cunoaște ca o vulnerabilitate de memorie în afara limitelor, care este de obicei asociată cu executarea de cod la distanță atunci când este exploatată de atacatori. În acest caz, vulnerabilitatea se află în componenta bibliotecii grafice Chrome, Skia, care este utilizată, cel puțin parțial, pentru a reda atât interfața cu utilizatorul, cât și conținutul web. O exploatare ar putea fi declanșată, ca și în cazul vulnerabilității CVE-2026-3913 despre care am avertizat pe 12 martie, pur și simplu prin vizitarea de către utilizator a unei pagini web malițioase.
Între timp, CVE-2026-3910 se găsește în componenta Chrome la fel de critică, cunoscută sub numele de V8. Acesta este motorul JavaScript al browserului și, ca atare, un favorit peren pentru hackeri de exploatat atunci când se ivește ocazia. OpenCVE a descris acest zero-day ca fiind o vulnerabilitate de implementare inadecvată care ar putea permite „unui atacator de la distanță să execute cod arbitrar într-un sandbox printr-o pagină HTML artizanală”.
**Agenția Americană de Apărare Cibernetică îndeamnă toate organizațiile să actualizeze Google Chrome cât mai curând posibil**
Agenția pentru Securitate Cibernetică și Infrastructură din SUA, căreia îi place să se numească Agenția Americană de Apărare Cibernetică, dar este menționată mai formal prin acronimul CISA, a adăugat atât vulnerabilitățile de securitate Google Chrome CVE-2026-3909, cât și CVE-2026-3910 în baza de date a catalogului Vulnerabilități Exploatate Cunoscute. Acest lucru este important din multe motive, nu în ultimul rând faptul că adaugă o confirmare foarte oficială, foarte guvernamentală și formală a utilizării vulnerabilităților în atacuri, dar și din cauza a ceea ce înseamnă acest lucru pentru anumite agenții federale și ecosistemul mai larg al întreprinderilor de afaceri.
Având în vedere „dovezile de exploatare activă” la care a făcut referire CISA și faptul că acest tip de vulnerabilități reprezintă adesea „vectori de atac frecvenți pentru actorii cibernetici rău intenționați”, declarația de adăugare a KEV a avertizat că, ca atare, ambele CVE-uri „prezintă riscuri semnificative pentru întreprinderea federală”. Într-adevăr, BOD 22-01 afirmă: „Este esențial să se remedieze agresiv vulnerabilitățile exploatate cunoscute pentru a proteja sistemele informatice federale și a reduce incidentele cibernetice.” Acesta este motivul pentru care a adus în joc Directiva Operațională Obligatorie 22-01. Aceasta obligă agențiile Federale Civile ale Ramurii Executive să remedieze ambele vulnerabilități în termen de 21 de zile de la adăugarea în catalogul KEV, „pentru a proteja rețelele FCEB împotriva amenințărilor active”.
În timp ce, ca întreprindere de afaceri sau orice organizație, de altfel, ați putea crede că acest lucru nu are nimic de-a face cu dvs., v-ați înșela. După cum a declarat elocvent CISA: „Deși BOD 22-01 se aplică doar agențiilor FCEB, CISA îndeamnă cu tărie toate organizațiile să își reducă expunerea la atacuri cibernetice prin prioritizarea remedierii la timp a vulnerabilităților din catalogul KEV ca parte a practicii lor de gestionare a vulnerabilităților.” Serios, ignorați acest sfat pe propriul risc.
Evident, programul dvs. de gestionare a patch-urilor va depinde de expunerea la amenințări și de risc, alături de cerințele operaționale, dar dacă Agenția Americană de Apărare Cibernetică ia în serios CVE-2026-3909 și CVE-2026-3910, cel puțin puteți face același lucru. „Vulnerabilitățile exploatate cunoscute ar trebui să fie prioritatea principală pentru remediere. Pe baza unui studiu al datelor istorice privind vulnerabilitățile care datează din 2019, mai puțin de 4% din toate vulnerabilitățile cunoscute au fost utilizate de atacatori în sălbăticie.”
**Google a plătit 81,6 milioane de dolari pentru dezvăluirea vulnerabilităților**
Deși cele mai recente două zero-day au fost, după cum s-a confirmat, descoperite de Google însuși, Programul de recompense pentru vulnerabilități, care oferă recompense în bani cercetătorilor externi în domeniul securității pentru a descoperi și dezvălui vulnerabilități, a împlinit 15 ani anul trecut. În acea perioadă, a acordat o sumă incredibilă de 81,6 milioane de dolari cercetătorilor, iar doar în 2025, totalul a depășit 17 milioane de dolari. Cea mai mare recompensă unică plătită în 2025, a spus managerul de programe tehnice, Tony Mendez, și Dirk Göhmann, un scriitor tehnic la Google, a fost acordată a doi cercetători „capabili să găsească erori logice în mecanismele de comunicare inter-proces a Chrome cu exploatare demonstrată”. În total, peste 100 de cercetători în domeniul securității au fost recompensați cu 3.716.750 de dolari pentru vulnerabilitățile care au afectat Chrome.
Deși nu se concentrează doar pe Chrome, din fericire, Google are un VRP Chrome dedicat, iar premiile pentru dezvăluirea vulnerabilităților legate de inteligența artificială au fost adăugate anul trecut. Desigur, VRP Chrome în sine nu se limitează la inteligența artificială. „Top 20 de cercetători Chrome au lucrat pe toate fațetele Chrome”, se arată în raport, „de la siguranța memoriei și fuzzing până la problemele interfeței cu utilizatorul, inclusiv deturnarea permisiunilor și afișarea corectă a URL-urilor pentru două pagini web simultan folosind vizualizarea divizată”. VRP-ul AI general a emis, conform raportului, plăți de recompense de 350.000 de dolari de la lansare.
Dacă credeți vreodată că Chrome este inerent nesigur din cauza numărului de vulnerabilități descoperite, aș sugera cu umilință că greșiți. De fapt, aș spune exact contrariul: datorită dedicării cercetătorilor în domeniul securității din interiorul și din afara Google, care descoperă vulnerabilități mai ales înainte ca acestea să poată fi exploatate, Chrome este un browser mult mai sigur decât cele fără un astfel de VRP. „Scopul nostru rămâne să rămânem înaintea amenințărilor emergente, să ne adaptăm la tehnologiile în evoluție și să continuăm să consolidăm postura de securitate a produselor și serviciilor Google”, a concluzionat raportul, iar acest lucru este posibil doar cu comunitatea de cercetare în domeniul securității.
**Ce trebuie să facă acum utilizatorii Google Chrome**
Ați putea crede că răspunsul simplu este nimic. Asta pentru că Google a început deja procesul de implementare a actualizării de securitate pentru toți utilizatorii. Cu toate acestea, lucrurile nu sunt chiar atât de simple. Pentru început, Google a mai spus că această actualizare de securitate va fi implementată „în zilele/săptămânile următoare”. Și pentru a termina, va trebui să vă asigurați că browserul dvs. este repornit pentru ca actualizarea să fie activată odată ce v-a ajuns.
Am spus nu înainte și, fără îndoială, o voi mai spune: zero-day nu ar trebui niciodată subestimate. Prin urmare, cursul de acțiune recomandat este să utilizați meniul cu trei puncte al browserului pentru a localiza opțiunea Ajutor | Despre Google Chrome, care verifică dacă există actualizări (în acest caz, 146.0.7680.75/76 pentru Windows/Mac și 146.0.7680.75 pentru Linux) și inițiază descărcarea și instalarea dacă nu sunt găsite cele mai recente corecții de securitate.