Google alertează 3,5 miliarde de utilizatori Chrome despre o vulnerabilitate zero-day. Articol de Davey Winder, Senior Contributor. Contribuitorii Forbes publică analize și perspective independente de experți. Davey Winder este un scriitor veteran de securitate cibernetică, hacker și analist. Urmăriți autorul 3 aprilie 2026, 11:44 EDT
Actualizat la 3 aprilie: În urma confirmării de către Google că CVE-2026-5281, o nouă vulnerabilitate zero-day a browserului web Chrome, este deja exploatată în sălbăticie, acest articol a fost actualizat pentru a include informații despre alte 20 de vulnerabilități corectate în cea mai recentă actualizare de securitate Chrome, precum și adăugarea zero-day-ului în baza de date a Catalogului Vulnerabilităților Exploatate Cunoscute al Agenției de Securitate Cibernetică și Infrastructură din SUA și ce înseamnă asta.
La doar câteva zile după ce Google a început să lanseze o actualizare de securitate de risc ridicat pentru utilizatorii Chrome, gigantul tehnologic a emis acum o nouă alertă în urma confirmării unui nou exploit zero-day observat în sălbăticie. Aceasta înseamnă că hackerii au deja un avans atunci când vine vorba de utilizarea CVE-2026-5281 în atacuri împotriva celor 3,5 miliarde de utilizatori ai celui mai popular browser web din lume.
Vestea bună este că Google a început o altă distribuție de actualizări de securitate pentru a aborda această vulnerabilitate de severitate ridicată, împreună cu alte 20 uluitoare. Vestea proastă este că ar putea dura zile sau chiar săptămâni pentru a ajunge la tine, conform anunțului Google. Din fericire, totuși, există o modalitate de a vă asigura că browserul dvs. Chrome primește imediat actualizarea de securitate Google, iar puteți derula până la sfârșitul acestui articol pentru instrucțiuni pas cu pas. Între timp, iată ce trebuie să știți despre zero-day-ul CVE-2026-5281.
Ce știm despre vulnerabilitatea zero-day Google Chrome CVE-2026-5281 În primul rând, știm că vulnerabilitățile zero-day devin din ce în ce mai frecvente în ceea ce privește Google Chrome. Cea mai recentă actualizare marchează al patrulea zero-day care a fost corectat de Google doar în primul trimestru al anului, după CVE-2026-2441 în februarie și ambele CVE-2026-3909 și CVE-2026-3910 pe 10 martie. Pentru a pune acest lucru într-o perspectivă mai largă, Google a corectat doar un total de opt zero-day-uri pe tot parcursul anului 2025, cu încă unul confirmat după publicarea articolului de referință legat.
În ceea ce privește CVE-2026-5281, Google păstrează o tăcere relativă în ceea ce privește detaliile tehnice, după cum este normal. „Accesul la detaliile și linkurile bug-ului poate fi restricționat până când o majoritate a utilizatorilor sunt actualizați cu o remediere”, a spus Srinivas Sista, un membru al echipei Google Chrome. Ceea ce știm, totuși, este că această vulnerabilitate zero-day de severitate ridicată este de tipul memoriei use-after-free și afectează componenta cross-platform Dawn WebGPU a Chrome. Dacă un atacator declanșează cu succes această vulnerabilitate, și rețineți că exploatările au fost confirmate, aceasta ar putea duce la coruperea datelor și la blocarea browserului. Potrivit bazei de date de vulnerabilități Vulners, un atacator ar putea „rula cod arbitrar printr-o pagină HTML elaborată”.
CISA adaugă Google Chrome CVE-2026-5281 la baza de date a vulnerabilităților exploatate cunoscute Agenția de Securitate Cibernetică și Infrastructură, care se descrie drept Agenția Americană de Apărare Cibernetică, dar este probabil mai bine cunoscută pur și simplu sub numele de CISA, a emis o directivă operațională obligatorie oficială care impune anumitor agenții federale civile ale ramurii executive să se actualizeze împotriva celei mai recente vulnerabilități zero-day Chrome. Adăugarea CVE-2026-5281 la catalogul Vulnerabilităților Exploatate Cunoscute nu afectează doar acele agenții federale, totuși, deoarece CISA a îndemnat, de asemenea, cu tărie „toate organizațiile să-și reducă expunerea la atacuri cibernetice prin prioritizarea remedierii la timp”. Este posibil să nu aveți o obligație legală de a finaliza acea remediere într-un anumit interval de timp, dar organizației dumneavoastră i se recomandă să aplice o evaluare a riscurilor și, dacă este necesar, patch-ul, cât mai curând posibil.
Toate cele 21 de vulnerabilități Chrome corectate de Google Lista completă a vulnerabilităților de securitate corectate de Google în această ultimă actualizare Chrome, care duce utilizatorii Windows și Mac la versiunea 146.0.7680.177/178 și utilizatorii Linux la versiunea 146.0.7680.177, este următoarea: CVE-2026-5273, o vulnerabilitate use-after-free de înaltă clasificare în componenta CSS. CVE-2026-5272, o vulnerabilitate de depășire a bufferului heap de înaltă clasificare în GPU-ul Chrome. CVE-2026-5274, o vulnerabilitate de depășire a întregului de înaltă clasificare în componenta Codecs. CVE-2026-5275, o vulnerabilitate de depășire a bufferului heap de înaltă clasificare în componenta ANGLE. CVE-2026-5276, o vulnerabilitate de aplicare insuficientă a politicii în componenta WebUSB. CVE-2026-5277, o vulnerabilitate de depășire a întregului de înaltă clasificare în componenta ANGLE. CVE-2026-5278, o vulnerabilitate use-after-free de înaltă clasificare în componenta Web MIDI. CVE-2026-5279, o vulnerabilitate de corupere a obiectelor de înaltă clasificare în componenta motorului de randare JavaScript V8. CVE-2026-5280, o vulnerabilitate use-after-free de înaltă clasificare în WebCodecs de la Chrome. CVE-2026-5281, vulnerabilitatea zero-day, după cum s-a discutat deja. CVE-2026-5282, o vulnerabilitate de citire în afara limitelor în WebCodecs. CVE-2026-5283, o vulnerabilitate de implementare necorespunzătoare în ANGLE. CVE-2026-5284, o vulnerabilitate use-after-free de înaltă clasificare în componenta Dawn. CVE-2026-5285, o vulnerabilitate use-after-free de înaltă clasificare în componenta WebGL. CVE-2026-5286, o vulnerabilitate use-after-free de înaltă clasificare în Dawn. CVE-2026-5287, o vulnerabilitate use-after-free de înaltă clasificare în componenta PDF. CVE-2026-5288, o vulnerabilitate use-after-free de înaltă clasificare în componenta WebView. CVE-2026-5289, o vulnerabilitate use-after-free de înaltă clasificare în componenta Navigation. CVE-2026-5290, o vulnerabilitate use-after-free de înaltă clasificare în Compositing. CVE-2026-5291, o vulnerabilitate use-after-free de clasificare medie în componenta WebGL. CVE-2026-5292, o vulnerabilitate în afara limitelor de clasificare medie în WebCodecs.
Cum să obțineți actualizarea de securitate zero-day Google Chrome fără a aștepta zile sau săptămâni Deși ați putea fi tentat să stați liniștit și să așteptați ca actualizarea Google Chrome să sosească și să se instaleze automat, și aceasta este o abordare perfect valabilă, când vine vorba de patching-ul vulnerabilităților zero-day, tind să greșesc pe partea precauției și să recomand inițierea procesului în schimb. Din fericire, acest lucru este, de asemenea, foarte ușor și, de asemenea, în mare măsură un proces automat. Tot ce trebuie să faceți este să accesați meniul cu trei puncte din browserul Chrome și să selectați opțiunea Ajutor|Despre Google Chrome. Actualizarea, dacă nu a fost deja aplicată, va începe descărcarea și instalarea automat. Asigurați-vă doar că urmați instrucțiunile pentru a reporni browserul când vi se solicită și veți fi protejat împotriva CVE-2026-5281 și a celorlalte 20 de vulnerabilități corectate de Google.