Google waarschuwt voor actief misbruik van V8-kwetsbaarheid in Chrome
Aanvallers maken actief misbruik van een kwetsbaarheid in de V8-engine van Google Chrome voor het aanvallen van gebruikers van de browser, zo heeft het techbedrijf aangekondigd. Er zijn updates uitgebracht om het probleem te verhelpen. V8 is de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. Het is geregeld het doelwit van aanvallen waarbij misbruik wordt gemaakt van kwetsbaarheden waar op het moment van de aanval geen patch voor beschikbaar is.
De nieuwste V8-kwetsbaarheid wordt aangeduid als CVE-2025-6554 en werd op 25 juni door onderzoeker Clément Lecigne van de Google Threat Analysis Group aan het Chrome-team gerapporteerd. Deze groep houdt zich bezig met het bestrijden van door overheden gesponsorde en uitgevoerde aanvallen tegen Google en diens gebruikers. Google heeft geen details over de waargenomen aanvallen gegeven. De impact van de kwetsbaarheid is als 'high' beoordeeld.
Bij kwetsbaarheden met het stempel 'high' kan een aanvaller in het ergste geval code binnen de context van de browser uitvoeren. Het is dan mogelijk om bijvoorbeeld data van andere websites te lezen of aan te passen en zo gevoelige informatie van gebruikers te stelen. Ook kwetsbaarheden om uit de Chrome-sandbox te ontsnappen vallen hieronder. Dit soort lekken zijn op zichzelf niet voldoende om een systeem over te nemen. Hiervoor zou een tweede kwetsbaarheid zijn vereist, bijvoorbeeld in het onderliggende besturingssysteem.
Het beveiligingslek is verholpen in Google Chrome 138.0.7204.96/.97 voor Windows, Chrome 138.0.7204.92/.93 voor macOS en Chrome 138.0.7204.96 voor Linux. Updaten zal op de meeste systemen automatisch gebeuren. Dit kan in het geval van actief aangevallen kwetsbaarheden echter tot zeven dagen duren. Gebruikers die direct de update willen ontvangen zullen een handmatige controle moeten uitvoeren. Voor gebruikers van Microsoft Edge, dat net als Chrome op Googles Chromium-browser is gebaseerd, is nog geen update beschikbaar. Begin juni waarschuwde Google ook al voor een actief aangevallen V8-lek.
Goed, die naam hebben ze in 2008 al gekozen. Het muntje valt een beetje laat bij me ;-).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?