Google herstelt lek in Chrome dat actief wordt misbruikt

Google heeft donderdag een fix uitgebracht voor zijn browser Chrome. Het bedrijf erkent dat een lek inmiddels actief is misbruikt. Door wie en op welke schaal zegt de browserbouwer niet. De nieuwe versie is 140.0.7339.185.

De varianten voor Windows en Mac zijn uitgekomen, de versie voor Linux komt in de komende weken uit, zegt Google. Het gaat om een zerodaykwetsbaarheid met als CVE-nummer CVE-2025-10585. Daarover zijn verder nog geen details bekend. Googles eigen Threat Analysis Group ontdekte het lek afgelopen dinsdag.

Het gaat om een typeconfusionbug in JavaScript-engine V8. Een dergelijke bug stelt een aanvaller via een kwaadaardige website in staat om de browser te misleiden door de browser te laten geloven dat een stuk code een ander type data is dan het in werkelijkheid is. Het is onbekend wanneer er meer details naar buiten komen over het lek.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 18-09-2025 20:26
16 • submitter: ikbenjoeri

18-09-2025 • 20:26

16

Submitter: ikbenjoeri

Lees meer

Google Chrome

geen prijs bekend

4.5 van 5 sterren
Qualcomm patcht drie zerodays die geheugencorruptie in gpu's konden veroorzaken
Qualcomm patcht drie zerodays die geheugencorruptie in gpu's konden veroorzaken Nieuws van 4 juni 2025
Google dicht Chrome-kwetsbaarheid die mogelijk voor spionage werd gebruikt
Google dicht Chrome-kwetsbaarheid die mogelijk voor spionage werd gebruikt Nieuws van 27 maart 2025
Google bevestigt echtheid van uitgelekte documentatie over Search
Google bevestigt echtheid van uitgelekte documentatie over Search Nieuws van 30 mei 2024
Meer producten en artikelen
Browsers Bugs

Reacties (16)

-Moderatie-faq
16
15
4
2
0
9
Wijzig sortering
R4gnax
18 september 2025 21:06
Het gaat om een 'type confusion'-bug in Javascript-engine V8.
Maw dit treft niet alleen Chrome, Chromium of elk stuk software dat van embedded Chromium gebruik maakt (alles Electron; alles Edge Webview waaronder MS Teams; Steam; etc.) maar ook elk stuk software dat enkel van de V8 JavaScript engine gebruik maakt. (Alles Node.js; wederom alles Electron; en diverse video-games die V8 voor scripting doeleinden gebruiken.)

En waarschijnlijk zal een groot deel daarvan - zeker een heleboel video-games - nooit gepatched worden.

[Reactie gewijzigd door R4gnax op 18 september 2025 21:07]

Reageer
erikieperikie @R4gnax18 september 2025 23:45
Hoe zou je een videogame hiermee kunnen aanvallen? Het artikel schrijft dat je op een kwaadaardige website moet zitten, wat ik interpreteer als dat je de kwaadaardige JavaScript moet uitvoeren. Hoe ga je dat als aanvaller doen via een game? Via Steam snap ik het nog wel. Via allerlei Chromiumapplicaties ook. Maar via een game? Misschien een game waarin je in JS geprogrammeerde dingen van anderen kunt uitvoeren?
Reageer
gimbal @erikieperikie19 september 2025 00:08
Het is een beetje vergelijkbaar met de NPM lekken en supply chain attacks die je nu aan de lopende band ziet. Dit soort security issues bijten hard in het feit dat mensen blind vertrouwen hebben in nieuwe versies van iets. Hoger versienummer = beter, die aanname zit hard ingebakken. Dat bovenop het feit dat Javascript en LUA interpreters al als veiliger gezien worden omdat het sandboxed omgevingen zijn. Niemand gaat ooit nadenken over een patch update van een mod; die worden blind vertrouwd en geïnstalleerd. Of nog erger het gaat helemaal automatisch via een mod manager tool zoals Nexus.

Dus als je een jaar lang blij gebruik maakt van een mod van JantjexXx die hij trouw bijhoudt in zijn zolderkamer en dan ineens versie 10.50.2.3 van die mod komt uit en maakt gebruik van een exploit in de security sandbox van een Javascript of een LUA interpreter... niemand gaat dat doorhebben. Want niemand gaat kijken. Je moet geluk hebben dat die ene held ertussen zit die ook altijd de EULA leest voor op accept te klikken. JantjexXx had het zelf misschien niet eens door en is zelf geraakt doordat hij een library voor mods gebruikt waar de exploit in zit.

Het klinkt niet aannemelijk dat dit in games zou gebeuren en op dit moment is het waarschijnlijk ook nog niet gangbaar, maar dit soort zaken worden steeds meer aantrekkelijk voor misbruik vooral omdat het zo'n hoog gehalte heeft van blind vertrouwen.
Reageer
Argantonis @gimbal19 september 2025 08:26
Dat is alleen niet zo relevant hier, want als iemand al arbitraire code kan pushen in die updates dan kunnen ze sowieso al doen wat ze willen. Het probleem in specifiek een BROWSER is dat het Javascript van websites inlaadt en je dus niet een hele app hoeft te updaten om kwetsbaar te zijn.
Reageer
JacOwns7 @gimbal19 september 2025 09:42
Heel iets offtopic, maar Nexus update je mods niet automatisch tenzij je daar een opt-in voor geeft. Sws niet aan te raden omdat mods vaak dependencies hebben die vaak voor/achter lopen. Lijkt me geen leuke troubleshoot als je niet precies weet wat er geupdate is..
Reageer
R4gnax
@gimbal19 september 2025 18:43
Het klinkt niet aannemelijk dat dit in games zou gebeuren en op dit moment is het waarschijnlijk ook nog niet gangbaar
Zoek eens op malware in mods voor Cities Skylines. Is de afgelopen jaren al meermalen gebeurd, namelijk.
Daarnaast had je ook nog: https://arstechnica.com/i...hed-in-dota-2-for-months/
Reageer
Help!!!! 18 september 2025 20:33
Fwiw: Laatste versie windows bij mij is: 140.0.7339.186 (Official Build) (64-bit)

[Reactie gewijzigd door Help!!!! op 18 september 2025 21:42]

Reageer
m.z @Help!!!!18 september 2025 21:33
macOS of Windows? Namelijk hebben beiden een ander versie-nummer, terwijl in dit artikel maar één wordt benoemd :s
Reageer
Help!!!! @m.z18 september 2025 21:42
windows
Reageer
m.z @Help!!!!18 september 2025 22:21
Oké, ik heb even gekeken. Al weet niet of er verschil zit in consumenten en enterprise versie, maar bij deze wat ik terugzie:

Google Chrome (Mac) 140.0.7339.186

Google Chrome (Windows) 140.0.7339.186

Dus, nu zijn de versie wel gelijk. Dit is opvallend, gezien ik normaal (vanuit monitoring) een app aparte versie voor Windows- en Mac-versie detecteer.

update: ik heb het gecontroleerd, de laatste versie is inderdaad .7339.186, maar 7339.185 is vermoedelijk eerder uitgebracht, namelijk detecteer ik .185 versie.


update 2:
Wednesday, September 17, 2025

The Stable channel has been updated to 140.0.7339.185/.186 for Windows/Mac, and 140.0.7339.185 for Linux which will roll out over the coming days/weeks. A full list of changes in this build is available in the Log.
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html

[Reactie gewijzigd door m.z op 18 september 2025 22:52]

Reageer
DarkSunshine 18 september 2025 20:30
Kan niet updaten of zoeken

Er is een fout opgetreden bij het ​​zoeken naar updates: Het starten van de updatecontrole is mislukt (foutcode 3: 0X80070422 -- system level).

Meer informatie

Versie 140.0.7339.81 (Officiële build) (64-bits)
Reageer
410Gone @DarkSunshine18 september 2025 20:33
effe browser sluiten en weer openen.
Reageer
hotabibber 18 september 2025 21:41
Ik heb ook 186 als laatste versie (net bijgewerkt). Betreft hier Windows 11 pro.
Reageer
danmark_ori 19 september 2025 02:45
" De varianten voor Windows en Mac zijn uitgekomen, de versie voor Linux komt in de komende weken uit, zegt Google. "

Linux Mint 22.2 hier en zojuist is Chromium bijgewerkt met het reguliere 'Bijwerkbeheer' / Update Manager:

Version 140.0.7339.185 (Official Build) for Linux Mint (64-bit)

Hoezo ' in de komende weken ' ?
Reageer
AlephNull @danmark_ori19 september 2025 09:41
De officiële release pagina van Google Chrome (dus niet Chromium) noemt ook dat versie 140.0.7339.185 beschikbaar is voor Linux:

http://googlechromereleases.blogspot.com/search/label/Stable%20updates
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq