Google repareert zeroday in Chrome waarvan informatie op X werd gedeeld

Google heeft een zerodaykwetsbaarheid gerepareerd in Chrome. In een recente update verhelpt het bedrijf onder andere een bug die het mogelijk maakte referrerdata aan te passen en zo informatie van gebruikers te stelen. Informatie daarover was publiek bekend via een post op X.

Google schrijft in releasenotes dat het Stable-versies 136.0.7103.113/.114 van Chrome voor Windows en macOS en 136.0.7103.113 voor Linux heeft uitgebracht. In die versie heeft het bedrijf vier kwetsbaarheden gerepareerd, waarvan het er twee als Hoog risico aanmerkt.

Van een van die twee laatstgenoemde bugs is informatie openbaar. Het gaat om CVE-2025-4664, een kwetsbaarheid in de Loader-functie van Chrome. Via die bug was het mogelijk om via een phishingpagina data te stelen van andere verbindingen. Opvallend aan die bug is dat er informatie online over is verschenen. Een hacker postte erover op X. @slonser_ legt in een korte thread uit dat het mogelijk is de referrer-policy aan te passen via de Link-header in Chrome waardoor het mogelijk is bepaalde queryparameters te onderscheppen. Die kunnen in sommige gevallen gevoelige data bevatten, bijvoorbeeld als er credentials in worden meegegeven via OAuth-flows.

Het is niet duidelijk waarom de X-gebruiker de informatie direct op sociale media zette en die niet eerst met Google deelde. Google meldt daarover zelf alleen dat 'kennis over de bug in het wild bestaat', maar geeft daar verder geen informatie over. Het is verder ook niet bekend of de kwetsbaarheid in de praktijk misbruikt is.

Update, 15.02 uur - in het artikel werd oorspronkelijk gesproken over OAuth-verbindingen, maar dat moeten OAuth-flows zijn.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 16-05-2025 09:34
10 • submitter: wildhagen

16-05-2025 • 09:34

10

Submitter: wildhagen

Lees meer

Google patcht actief misbruikte zeroday in op Chromium gebaseerde browsers
Google patcht actief misbruikte zeroday in op Chromium gebaseerde browsers Nieuws van 2 juli 2025
Google repareert bug waarmee het mogelijk was om telefoonnummers te achterhalen
Google repareert bug waarmee het mogelijk was om telefoonnummers te achterhalen Nieuws van 10 juni 2025
Qualcomm patcht drie zerodays die geheugencorruptie in gpu's konden veroorzaken
Qualcomm patcht drie zerodays die geheugencorruptie in gpu's konden veroorzaken Nieuws van 4 juni 2025
Google: hackers gebruikten Calendar om geïnfecteerde systemen te beheren
Google: hackers gebruikten Calendar om geïnfecteerde systemen te beheren Nieuws van 30 mei 2025
Nieuwe Chromium-functie blokkeert opstarten van Chrome met adminrechten
Nieuwe Chromium-functie blokkeert opstarten van Chrome met adminrechten Nieuws van 19 mei 2025
Google dicht Chrome-kwetsbaarheid die mogelijk voor spionage werd gebruikt
Google dicht Chrome-kwetsbaarheid die mogelijk voor spionage werd gebruikt Nieuws van 27 maart 2025
Google repareert voor de negende keer in 2024 een zeroday in Chrome
Google repareert voor de negende keer in 2024 een zeroday in Chrome Nieuws van 22 augustus 2024
Google repareert voor zesde keer in 2024 zeroday in Chrome
Google repareert voor zesde keer in 2024 zeroday in Chrome Nieuws van 17 mei 2024
Google dicht nog een op Pwn2Own ontdekte zeroday in Chrome
Google dicht nog een op Pwn2Own ontdekte zeroday in Chrome Nieuws van 4 april 2024
Microsoft lost zeroday in Edge op en zegt dat Google van misbruik wist
Microsoft lost zeroday in Edge op en zegt dat Google van misbruik wist Nieuws van 31 maart 2024
Meer producten en artikelen
Beveiliging en antivirus Browsers Google Chrome

Reacties (10)

-Moderatie-faq
10
9
7
2
0
1
Wijzig sortering
RevXTND 16 mei 2025 09:53
4 x in het artikel specifiek genoemd dat het op X geplaatst is, inclusief titel en intro.

Wat is dan de scope van het artikel? Dat een vulnerability niet eerst aan de developer gemeld is (wat niet zeker is, ik zie er niets over bij zowel de poster als bij Google) óf moet vooral X gebasht worden als evil platform waar onethische hacktoestanden plaats vinden?
GertMenkel
@RevXTND16 mei 2025 10:05
Omdat er geen tijd is geweest om een patch uit te rollen voor deze release, zullen mensen en bedrijven die van dingen als OAuth2 gebruik maken mogelijk direct moeten patchen. Normaal komt dit soort informatie niet zomaar uit, helemaal niet met een stap-voor-stap plan om de exploit uit te voeren, laat staan op Twitter. Er zijn zerodays die gevonden worden in virussen, soms worden vroege patches gereverse-engineered, maar zelden zet iemand zoiets online zonder moeite te doen het eerst te laten fixen.

Normaal zou je zoiets eerst aan Google melden, wacht je tot er een patch is (bij Chrome is dat meestal wel binnen een week voor zoiets), en ga je dan pronken op social media over het lek dat je gevonden hebt (eventueel nadat je het geld van een bug bounty hebt geïnd). Anderzijds zou je zoiets ook aan de grijze of zwarte markt kunnen verkopen. Dat je zoiets op Twitter zet, is toch wel een beetje apart.

Waarom hij dit deed is me niet helemaal duidelijk, misschien dat degene die het probleem online gezet heeft problemen heeft met het bugrapportagesysteem van Chrome? (Google kan lastig bug bounties betalen aan mensen die wonen in landen waar sancties tegen gelden, bijvoorbeeld). Of misschien dacht hij dat dit volgens spec was en dat het geen security-bug was, dat kan natuurlijk ook.
CH4OS @GertMenkel16 mei 2025 10:25
Omdat er geen tijd is geweest om een patch uit te rollen voor deze release, zullen mensen en bedrijven die van dingen als OAuth2 gebruik maken mogelijk direct moeten patchen.
Het is aan de andere kant ook niet zo (al ken ik de impact en urgentie niet) wanneer dit lek gemakkelijk te misbruiken was en al actief misbruikt werd e.d, ook niet zo dat security updates nog altijd optioneel en minder prioriteit moeten krijgen. Bij mij op het werk wordt daar gelukkig anders over gedacht. Wanneer zoiets ontstaat en het is inderdaad gemakkelijk te misbruiken en gebeurd dat al in het wild, dan moeten wij al redelijk hetgeen we in de handen hebben laten vallen omdat dit echt even iets wat snel gemitigeerd moet worden.
Triblade_8472 @GertMenkel16 mei 2025 10:50
Het zou kunnen zijn dat het al lang gemeld is, maar keihard genegeerd. Zou niet de eerste keer zijn dat iets gepubliceerd wordt nadat de bug langere tijd niet opgelost wordt.

Hoe dan ook, 't blijft gokken.
AuteurTijsZonderH Nieuwscoördinator @RevXTND16 mei 2025 10:17
Wat is dan de scope van het artikel
Als je hiermee bedoelt 'wat is de meerwaarde ervan dit te noemen', dan is dat omdat dit vrij uniek is. Dat een kwetsbaarheid zomaar op sociale media verschijnt zonder enige context over of het bij de vendor gemeld is, of er een cvd-proces is doorlopen of wat dan ook, is zeldzaam. Dat zie ik vrijwel nooit. Dat maakt het nieuwswaardig - dat heeft niks te maken met X bashen, dat is gewoon een rare suggestie.
Ryunoru @TijsZonderH16 mei 2025 23:02
Dat is helemaal niet uniek. Probeer eens "hacker publishes bug without warning google first" of iets vergelijkbaars als zoekopdracht.
watercoolertje
@RevXTND16 mei 2025 10:53
Hoezo brengt dit X in discrediet dan? Brengen boeven de snelweg in discrediet omdat ze daar overheen vluchten?

Het lijkt nu juist of jij Tweakers in discrediet wilt brengen :+

[Reactie gewijzigd door watercoolertje op 16 mei 2025 10:57]

lenwar
@RevXTND16 mei 2025 12:06
De scope?
Dat er informatie van een kwetsbaarheid van Chrome openbaar op X is gezet.
Meestal zie je dat kwetsbaarheden via Dark Web-mechanismen worden verspreid, om de vindbaarheid van 'de goeden' te verminderen, of het wordt achteraf gepubliceerd. (wanneer de patches al even beschikbaar zijn).

Het artikel gaat dus niet primair over de kwetsbaarheid, maar het feit dat de informatie publiek op X stond/staat.
marcovit @RevXTND16 mei 2025 09:56
Ik vermoed dat melder in het verleden andere dingen heeft gemeld maar dat er teveel tijd tussen de melding en de oplossing zat. Zo'n vulnerability openbaar delen forceert Google om sneller actie te ondernemen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq