Voor de derde keer dit jaar heeft Google een ernstig beveiligingslek in de desktopversie van Chrome gepatcht. Daarnaast verhelpt Chrome 63.0.3239.84 ook 36 andere kwetsbaarheden. Via een ernstige kwetsbaarheid kan een aanvaller willekeurige code op het onderliggende systeem uitvoeren.

Alleen het bezoeken van bijvoorbeeld een gehackte website of kwaadaardige pagina is in dit geval voldoende. Er is geen verdere interactie van gebruikers vereist. Ernstige kwetsbaarheden in de browser worden zelden door externe onderzoekers aan Google gerapporteerd. Zo is er in 2016 geen enkel ernstig beveiligingslek in de desktopversie van Chrome gemeld. In 2015 kwamen er twee ernstige kwetsbaarheden voor en een jaar eerder drie.

Dit jaar staat de teller zoals gezegd op drie, met eerdere patches in maart en november. Net als bij het ernstige beveiligingslek van november zat ook nu de kwetsbaarheid in QUIC, een door Google ontwikkeld netwerkprotocol. En wederom was het onderzoeker Ned Williamson die het probleem ontdekte. De beloning die Williamson voor het eerste QUIC-lek kreeg is nog niet door Google bekendgemaakt. Voor de nu verholpen kwetsbaarheid ontving de onderzoeker 10.500 dollar.

Verder werden drie kwetsbaarheden in de ingebouwde pdf-lezer van Chrome gepatcht waarvan de impact als "high" is bestempeld. Via dergelijke beveiligingslekken zou een aanvaller in het ergste geval code binnen de context van de browser kunnen uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen. De drie pdf-kwetsbaarheden werden door externe onderzoekers gerapporteerd, waarvoor Google in totaal 16.337 dollar betaalde. Updaten naar de nieuwste Chrome-versie gaat op de meeste systemen automatisch.