Chrome-update voor kwetsbaarheid die al actief misbruikt werd
Versie 138.0.7204.157/158 van Chrome lost in totaal zes veiligheidsrisico’s op, waaronder CVE-2025-6558. Het gaat om een zogenoemde “zero-day”, een fout die ontdekt en mogelijk ook misbruikt werd voordat er een patch beschikbaar was. Het is al de vijfde zero-day die Google dit jaar verhelpt.
Concreet gaat het om een onjuiste validatie van onbetrouwbare invoer in de ANGLE- en GPU-componenten van Chrome. Wie een malafide pagina bezoekt, kan daardoor het slachtoffer worden van een zogenoemde “sandbox escape”, waarna de aanvaller code kan uitvoeren buiten de beschermde browseromgeving.
De kwetsbaarheid werd op 23 juni gemeld door leden van de Threat Analysis Group van Google zelf en eerder deze week werd een update met fix uitgerold. Dat is relatief snel, wat doet vermoeden dat Google lopende aanvallen observeerde en besloot dat er snel ingegrepen moest worden. Concrete details over dergelijke incidenten geeft Google echter niet prijs.
Updaten en herstarten
Om beschermd te zijn tegen de exploit, moet je Chrome-browser minstens op versie 138.0.7204.157 staan en dat geldt voor zowel Windows-, macOS- als Linux-gebruikers. De update verschijnt automatisch, maar vraagt vervolgens wel om een manuele herstart. In het instellingenmenu van Chrome kan je via “Help” naar “Over Google Chrome” gaan om de update te raadplegen.
Ook andere Chromium-browsers krijgen een update om het veiligheidsprobleem op te lossen. Zij zullen mogelijk echter nog enkele dagen geduld moeten hebben. Hoe dan ook is je browser up-to-date hebben de boodschap.
