L'une des failles corrigées est particulièrement préoccupante car elle était déjà activement exploitée par des cybercriminels avant la publication du correctif. La vulnérabilité la plus importante, désignée CVE-2026-11645, présente un score de risque élevé de 8,8 sur 10 sur l'échelle CVSS. Cette vulnérabilité affecte le moteur V8, qui gère JavaScript et WebAssembly dans le navigateur Chrome. D'après les informations publiées par des chercheurs en sécurité, la faille provenait d'un accès mémoire inapproprié en dehors d'une zone définie. Ceci a permis la création d'un site web spécialement conçu pour exécuter du code non autorisé sur l'ordinateur d'un utilisateur, même au sein d'un navigateur sécurisé. La vulnérabilité a été signalée fin avril par un chercheur en sécurité utilisant le pseudonyme « 303f06e3 ». Google lui a accordé une prime de 55 000 $, soit environ 200 000 złoty. Google a révélé que cette vulnérabilité était exploitée lors d'attaques. Cependant, l'entreprise n'a pas divulgué de détails sur le mode opératoire des cybercriminels. Il est courant chez les développeurs de logiciels de laisser aux utilisateurs le temps d'installer les mises à jour avant de rendre les informations plus largement accessibles.

Il s'agit de la cinquième vulnérabilité zero-day activement exploitée et corrigée par Google depuis le début de 2026. Auparavant, le fournisseur avait corrigé les vulnérabilités marquées CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 et CVE-2026-5281, entre autres. Google recommande d'installer les dernières versions de Chrome dès que possible. Les utilisateurs de Windows et macOS doivent utiliser la version 149.0.7827.102 ou 149.0.7827.103, tandis que les utilisateurs de Linux doivent utiliser la version 149.0.7827.102.