Google patcht actief misbruikte zeroday in op Chromium gebaseerde browsers

Google heeft een patch uitgebracht voor een actief misbruikte zerodaykwetsbaarheid die alle op Chromium gebaseerde browsers treft. Naast Google Chrome maken ook onder meer Microsoft Edge, Brave, Vivaldi en Opera gebruik van het Chromium-project.

Op zijn blog schrijft Google dat het een typeconfusionkwetsbaarheid heeft gepatcht in V8, de JavaScript- en WebAssembly-engine van Chrome en het Chromium-project. De kwetsbaarheid met CVE-nummer CVE-2025-6554 is op 25 juni 2025 gemeld aan Googles Threat Analysis Group. Het probleem is een dag later verholpen door een configuratiewijziging die is doorgevoerd in het stabiele kanaal op alle platforms.

De National Vulnerability Database schrijft dat hackers door de kwetsbaarheid op afstand lees- en schrijfbewerkingen konden uitvoeren via een speciale HTML-pagina. Microsoft heeft de kwetsbaarheid in de nieuwste release van zijn Edge-browser ook gepatcht.

Door Imre Himmelbauer

Redacteur

Feedback • 02-07-2025 09:50 47

02-07-2025 • 09:50

47

Lees meer

Chrome toont in Amerika AI-overzichten van recensies van online winkels
Chrome toont in Amerika AI-overzichten van recensies van online winkels Nieuws van 29 juli 2025
Google moet 267 miljoen euro betalen in VS voor datagebruik Android-apparaten
Google moet 267 miljoen euro betalen in VS voor datagebruik Android-apparaten Nieuws van 2 juli 2025
Microsoft dicht twee zerodays tijdens Patch Tuesday
Microsoft dicht twee zerodays tijdens Patch Tuesday Nieuws van 11 juni 2025
Google repareert zeroday in Chrome waarvan informatie op X werd gedeeld
Google repareert zeroday in Chrome waarvan informatie op X werd gedeeld Nieuws van 16 mei 2025
Google dicht Android-zeroday die door Servische autoriteiten misbruikt wordt
Google dicht Android-zeroday die door Servische autoriteiten misbruikt wordt Nieuws van 10 april 2025
Meer producten en artikelen
Privacy Google Chrome Chromium Security

Reacties (47)

-Moderatie-faq
47
46
22
2
0
20
Wijzig sortering
telenut 2 juli 2025 09:58
Ik mis toch soms wat meer info over dit soort zaken...
Hoe gaat het te werk, hoe kan je het herkennen...
Patchen is altijd de oplossing ja, maar dat is niet altijd overal even evident en snel te regelen.
applesap @telenut2 juli 2025 10:07
Zoals Google op hun blog post heeft gezegd gaan we nog even moeten wachten op details https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html
Note: Access to bug details and links may be kept restricted
until a majority of users are updated with a fix. We will also retain
restrictions if the bug exists in a third party library that other projects
similarly depend on, but haven’t yet fixed.
The Zep Man
@telenut2 juli 2025 10:04
Patchen is altijd de oplossing ja, maar dat is niet altijd overal even evident en snel te regelen.
Tijdige patching van browsers lijkt mij belangrijk, gezien die applicaties apparaten het meest blootstellen aan het open internet. Als je bang bent dat een interne brakke webapplicatie daar problemen mee heeft, dan kan je beter met twee omgevingen/browsers (één voor intern, één voor extern) werken totdat je interne webapplicatie voldoet aan moderne webstandaarden.

[Reactie gewijzigd door The Zep Man op 2 juli 2025 10:06]

telenut @The Zep Man2 juli 2025 10:14
Maar niet overal is patchen zomaar mogelijk dus. Je wil dan weten hoe dit te herkennen is via Defender bijvoorbeeld.
Maar zullen moeten wachten op meer details vrees ik
Robbierut4 @telenut2 juli 2025 10:34
Ik weet niet wat voor omgeving jij hebt, maar lijkt me niet optimaal als je browsers niet kunt patchen.

Is niet heel verstandig om dat soort systemen aan het internet te hangen.
CH4OS @Robbierut42 juli 2025 11:38
Soms wordt patchmanagement gedaan door de interne IT afdeling, die zelf de packages maakt zodat ze installeren conform het interne beleid. Dit zodat niet elke gebruiker een troep maakt op de PC en je verdorvenere gecentraliseerd hebt. In grote omgevingen zijn dat soort dingen écht een must om de interne IT een beetje gestructureerd te houden. Denk bijvoorbeeld aan omgevingen zoals van grote (internationale) banken.

[Reactie gewijzigd door CH4OS op 2 juli 2025 11:39]

The Zep Man
@CH4OS2 juli 2025 12:45
In grote omgevingen zijn dat soort dingen écht een must om de interne IT een beetje gestructureerd te houden. Denk bijvoorbeeld aan omgevingen zoals van grote (internationale) banken.
Ik weet zelf van grote (ook financiële) instellingen die voor Edge patches direct doorvoeren, zonder herstart. Het risico van 0-days wordt groter geacht dan het risico dat de browser eens een probleem heeft met een productiesite. Dat laatste komt eigenlijk niet voor als je de eigen sites op orde hebt.

[Reactie gewijzigd door The Zep Man op 3 juli 2025 08:21]

CH4OS @The Zep Man2 juli 2025 12:55
Ik ken genoeg bedrijven waar een software update in elk geval niet zomaar geïnstalleerd word. Sterker nog, voor bijvoorbeeld headless Chrome bij een klant werkte dat niet zomaar of direct. Bleek dat die klant bepaalde uitgaande verbindingen niet toestond. Later bleek vervolgens dat er ook daarvoor een update was, maar die nieuwe versie moest wel weer eerst getest worden voordat ze het wilden installeren. Dit was dan wel bij een van de grootste banken van Australië.

Dus hoewel wat je omschrijft wellicht de ideale situatie is, het is dus echt niet altijd zo rooskleurig in de praktijk.

EDIT: Ik zie nu dat ik deze wellicht beter had kunnen zetten onder The Zep Man in 'Google patcht actief misbruikte zeroday in op Chromium gebaseerde browsers' :P Sorry :$

[Reactie gewijzigd door CH4OS op 2 juli 2025 12:57]

telenut @Robbierut42 juli 2025 11:22
Ik zeg, niet zomaar...
Die engine zit trouwens ingebakken in heel veel toepassingen. Veel pc's kan of mag je niet elke dag herstarten, lopen onderzoeken op die uren duren...
Staat gevalideerde software op die uitvoerig getest moet worden..
SunnieNL @telenut2 juli 2025 13:54
Voor browser patches hoef je niet de hele PC te herstarten. Hooguit de browser.
En pc's die je niet zomaar mag herstarten ivm gevalideerde software zijn over het algemeen niet de pc's die verbonden zijn aan het internet met een browser die volledig open is. Die pc's zou je vanwege security risico's toch al in gescheiden subnets draaien met oost-west security, wat het risico automatisch verlaagd.

[Reactie gewijzigd door SunnieNL op 2 juli 2025 13:55]

The Zep Man
@telenut2 juli 2025 11:21
Maar niet overal is patchen zomaar mogelijk dus.
Wat maakt patchen niet zomaar mogelijk?
CH4OS @The Zep Man2 juli 2025 11:40
Grote it omgeving met eigen versiebeheer en patchmanagement?
The Zep Man
@CH4OS2 juli 2025 12:25
In een volwassen omgeving (ook met eigen versiebeheer en patchmanagement) worden patches voor browsers die publiekelijk sites benaderen snel doorgezet. Daar wil je geen onnodige wachttijd voor hebben. Een 0-day wacht niet zolang een organisatie nodig heeft om browserpatches door te voeren.

Voor brakke interne sites waarbij men vreest voor updates is al een oplossing geopperd.

[Reactie gewijzigd door The Zep Man op 2 juli 2025 12:34]

telenut @The Zep Man2 juli 2025 14:10
Werken in een (groot) ziekenhuis :-)
Kenny.B @telenut2 juli 2025 21:54
zeker als er gebruik gemaakt wordt van citrix en vd's dan kan je niet even 123 direct iets door voeren behalve als injectie omdat je anders de vd's moet open breken en upgraden.
divvid @The Zep Man2 juli 2025 12:10
soms kunnen systemen net herstarten omdat er onderzoeksapparatuur achter hangt, dat kan soms weken duren.

(geen idee of je in windows live kan patchen voor niet-kernel dingen), zou voor een browser gewoon moeten kunnen lijkt mij)

maar ja, van de week kwamen we er nog achter dat bij een apparaat van > 1mln, software wordt geleverd die niet op win11 draait. IT zat gelijk in de gordijnen (en terecht overigens). Gelijk bij procurement aangegeven om dit soort zaken mee te nemen in hun voorwaarden.
SunnieNL @divvid2 juli 2025 13:58
Dat soort systemen worden toch ook via netwerk al zwaar gescheiden van andere systemen mag ik hopen?
Die draaien geen browser die zomaar het internet kan benaderen. Eigen subnet, strenge firewall rules om verkeer alleen maar toe te staan tussen enkele systemen.

Onderzoeksapparatuur zal ook niet dat soort zaken draaien via de browser ivm timeouts van browsers. En als ze dat al wel doen, dan is het de webserver die de boel instant houdt, niet de browser zelf die alleen de gui toont.
The Zep Man
@divvid2 juli 2025 12:26
soms kunnen systemen net herstarten omdat er onderzoeksapparatuur achter hangt, dat kan soms weken duren.
Voor een browser hoeft een systeem niet te herstarten. Als dat wel "moet", dan is patchmanagement niet goed ingericht.

[Reactie gewijzigd door The Zep Man op 2 juli 2025 12:26]

divvid @The Zep Man2 juli 2025 13:27
ben ik met je eens.
vickypollard @telenut2 juli 2025 10:49
Als je in een omgeving werkt waar browsers niet geüpdatet kunnen worden, dan zijn jullie devices momenteel blootgesteld aan een onvoorstelbare hoeveelheid mogelijke exploits.
CH4OS @vickypollard2 juli 2025 11:40
Tekort door de bocht. Wellicht heeft de omgeving eigen versiebeheer en patch management.
MPAnnihilator @telenut2 juli 2025 10:07
In Opera ( gebaseerd op Chrome ), typ ik in de adresbalk gewoon opera://about/ , en vervolgens zie ik een pagina met Chromium version:134.0.6998.205

Ik vermoed bij Chrome zelf een soort gelijke handeling.
Skit3000 @telenut2 juli 2025 10:07
Hoe gaat het te werk, hoe kan je het herkennen...
Het lijkt er op dat het issue zelf (nog even?) geheim wordt gehouden, waarschijnlijk om te voorkomen dat anderen dit snel gebruiken om de kwetsbaarheid uit te buiten voordat iedereens browser is geüpdate. Dat neemt natuurlijk niet weg dát het al wordt misbruikt, maar maakt de kans dat je er aan blootgesteld wordt wel kleiner.

Daar hoort dan aan de andere kant natuurlijk bij dat je (nog) niet precies weet wat de oorzaak is.
hackerhater @Skit30003 juli 2025 10:49
Het zal sowieso snel herkend worden nu de patch uit is. Kwestie van een diff op de 2 verschilende versies doen.
Ik zag de updates met high prio al langs komen op Debian. Ik heb de pc en laptop direct bijgewerkt.
Blokker_1999
@telenut2 juli 2025 11:04
Als er mogelijkheden zijn tot mitigatie voor het geval je niet kunt patchen, dan zal men dat ook altijd melden. Maar je gaat niet zomaar de werking van een bug uitleggen aan het grote publiek wanneer de meeste mensen nog met een kwetsbare versie aan het surfen zijn.
oef! @telenut2 juli 2025 10:09
Is terug te vinden via de CVE: CWE - CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') (4.17)

Herkennen doe je het, zoals bij de meeste exploits, niet. Het is geen zichtbaar proces.
lenwar
@telenut2 juli 2025 20:51
Het staat toch in het artikel? Door daadwerkelijk malafide code op je webpagina te zetten.
De National Vulnerability Database schrijft dat hackers door de kwetsbaarheid op afstand lees- en schrijfbewerkingen konden uitvoeren via een speciale HTML-pagina
Met die kennis kun je het blokkeren (afhankelijk van je netwerkinfrastructuur)
cane 2 juli 2025 10:02
Dit onderstreept het belang van het hebben van meerdere onafhankelijke browserengines, aangezien Firefox hier niet door getroffen is.
watercoolertje
@cane2 juli 2025 10:31
Ik ben 100% voor meer engines (goed voor keuze) maar niet om de reden dat dat veiliger zou zijn.

Zolang het voorbeeld (FF) wat je aanhaalt ook gewoon zerodays heeft, maar andere dan deze. Is dat dus ook niet veiliger verder.

Je kan vandaag zegg en dat je beter op FF kan zitten (want die heeft deze zeroday dus niet), maar morgen is het misschien andersom. Je kan daar toch niet op anticiperen verder (tenzij je de lekken zelf als eerste vind), dus imo veranderd er voor een gebruiker dan helemaal niks op gebied van veiligheid.

[Reactie gewijzigd door watercoolertje op 2 juli 2025 10:32]

tszcheetah @watercoolertje2 juli 2025 11:15
Diversiteit helpt de veiligheid wel, omdat het de totale impact van een zero-day als deze verlaagd. Niet bij elke individuele gebruiker, maar wel in bredere zin. Als er minder Chromium-gebruikers zijn (door meer diversiteit in engines) worden er vanzelfsprekend ook minder gebruikers getroffen door deze specifieke kwetsbaarheid. En kan een exploit dus minder schade in totaal veroorzaken.
vickypollard @tszcheetah2 juli 2025 11:27
Als beide engines andere kwetsbaarheden hebben, kunnen dezelfde of verschillende kwaadwillenden gewoon beide gebruikersgroepen aanvallen. Het is niet alsof er maar één kwaadwillende is die maar één ding kan doen.
arbraxas @vickypollard2 juli 2025 11:53
Dat kan, maar niet met dezelfde exploit. En je hebt dan gewoon keuze. Zelf gebruik ik voor 99% firefox met een hoop addons zoals noscript. Zodat ik zelf redelijk in de hand houd wat wel en niet javascript mag gebruiken. Daarmee ondervang je al een hoop.
tszcheetah @vickypollard2 juli 2025 11:55
Ja, iedereen en elke engine blijft kwetsbaar. Dat klopt.

Maar een exploit ontwikkelen, zeker een zero-day, kost tijd en geld. Een kwaadwillende zal zich dus meer of eerder moeten concentreren op 1 kleinere gebruikersgroep, als er meerdere groepen zijn. De kosten/baten-verhouding wordt simpelweg anders. De hacker zal meer kosten moeten maken (om zich op alle engines te kunnen richten en hetzelfde aantal gebruikers te raken), of krijgt minder inkomsten (minder doelwitten die uiteindelijk geld opleveren).

Onderaan de streep is de impact (schade) dus minder.

(of dat in verhouding staat tot de extra kosten voor de ontwikkeling/onderhoud/enz van de verschillende engines, durf ik niet in te schatten)
lenwar
@tszcheetah2 juli 2025 20:57
Je verplaatst problemen. Door een engine te hebben, hoef je er maar één in de gaten te houden, en ben je minder vatbaar voor meer verschillende fouten, alleen is de impact groter wanneer het mis gaat.

De werkelijke exploit verschilt per geval. Als de exploit het installeren van ransomware faciliteert, heb je maar een besmetting nodig.
Die_ene_gast @watercoolertje2 juli 2025 11:54
Ik denk dat hij doelt op het feit dat als je weet dat dit rondgaat je ff op een andere engine kan draaien totdat het is opgelost.
SuperDre @cane2 juli 2025 10:53
Oh great, maar voordeel is juist dat exploits vaak eerder herkend en opgelist worden, wat bij een minder vaak gebruikte engine dan misschien langer duurt voordat de exploit opgemerkt wordt en dan wordt opgelost. Firefox wordt misschien niet door deze exploit getroffen, maar heeft genoeg andere waar chromium dan weer geen last van heeft.
Digimann @SuperDre2 juli 2025 11:50
Hier tegenover staat dat wanneer je toegang tot gebruikers wilt hebben de browsers / engine die door de meeste gebruikers gebruikt wordt het meest interessant is.
dj.verhulst @cane2 juli 2025 11:25
een beetje tweaker heeft meerdere browsers met meerdere engines
Vinnie.1234 2 juli 2025 10:27
Ik mis toch wel versie nummers zodat ik even kan controleren of ik up-to-date ben of dat ik update moet forceren. Al hebben we gelukkig tegenwoordig ai:
🛡️ Gepatchte versies voor CVE-2025-6554:

🔹 Chrome

- Windows: 138.0.7204.96 / .97

- macOS: 138.0.7204.92 / .93

- Linux: 138.0.7204.96

🔹 Microsoft Edge

- Windows/macOS: 138.0.3351.65

🔹 Opera

- Opera (desktop): 119.0.5497.70

- Opera GX: 119.0.5497.68

- Opera Air: 118.0.5461.137

- Opera voor Android: 89.5
Boost9898 2 juli 2025 10:08
Wat een karig bericht, iets meer technische diepgang mag wel op Tweakers.
418O2 @Boost98982 juli 2025 10:11
Zerodaybeschrijvingen worden bewust vaag gehouden, dus veel meer is er niet te melden in casu
Vexxon @418O22 juli 2025 10:31
Al is Google altijd vrij scheutig met informatie wanneer het een bug betreft in de software van de concurrent
watercoolertje
@Vexxon2 juli 2025 10:43
Doet Google Project Zero dat uberhaupt met bugs die ze niet zelf vinden dan? Of heeft die hier eigenlijk helemaal niks mee te maken?

Overigens heeft Google wel al aangegeven het de informatie later (als het merendeel gepatcht is) gewoon netjes deelt...

[Reactie gewijzigd door watercoolertje op 2 juli 2025 10:47]

Blokker_1999
@Vexxon2 juli 2025 11:07
Google doet dat alleen wanneer de software niet op tijd gepatcht wordt. Ook Google doet aan responsible disclosure, maar wanneer een bedrijf dan nalaat om het probleem op een tijdige manier aan te pakken, dan wordt de kwetsbaarheid zelf bekend gemaakt aan het grote publiek zodat iedereen er zich bewust van is en mogelijks mitigatie kan gaan zoeken, zodat antimalware makers hun definities kunnen aanpassen om het op te sporen en om hopelijk de softwaremaker te dwingen met een oplossing te komen.
CH4OS @Boost98982 juli 2025 11:53
Welke diepgang verwacht je, als die informatie er niet is op het moment van schrijven? :?
jaapzb @Evertprakkie2 juli 2025 11:18
Geen van die twee clickbait filmpjes leggen uit wat die apps eigenlijk doen en hoe ze precies privacy-gerelateerd zijn.

Daarnaast niet echt relevant voor dit artikel, het gaat hier om een security patch voor een gat wat door derden misbruikt word.

[Reactie gewijzigd door jaapzb op 2 juli 2025 11:19]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq