Google liet exploitcode uitlekken voor 3,5 jaar oud gat in Chromium-browsers

Google publiceerde exploitcode voor een openstaande kwetsbaarheid in Chromium-browsers waarvoor nog altijd geen patch is. De kwetsbaarheid werd eind 2022 gemeld door een externe beveiligingsonderzoeker. Google haalde zijn exploitcode offline, maar deze is al gekopieerd.

De kwetsbaarheid raakt browsers gebaseerd op de open Chromium-code. Dit zijn naast het veelgebruikte Chrome van Google zelf ook Microsoft Edge, Opera, Brave, Vivaldi en de nieuwe Samsung Browser voor Windows. De proof-of-conceptexploitcode van Google laat kwaadwillende websites een verbinding opzetten met de browser, waardoor verschillende acties mogelijk zijn. Het is dan bijvoorbeeld mogelijk om het surfgedrag van gebruikers deels te monitoren en om de browser te misbruiken als een proxy om bijvoorbeeld ddos-aanvallen uit te voeren.

Afhankelijk van de gebruikte browser blijft de verbinding openstaan na een herstart van het systeem waarop de kwetsbare browser draait. De openstaande kwetsbaarheid is daarmee in wezen een beperkte backdoor, schrijft Ars Technica. De misbruikte browserfunctionaliteit zit in de programmeerinterface Browser Fetch, waarmee grote bestanden zoals video's op de achtergrond te downloaden zijn.

Wachten op patch

Beveiligingsonderzoeker Lyra Rebane meldde deze kwetsbaarheid eind 2022 bij Google. Door de publicatie van details op woensdag dacht zij dat de kwestie gerepareerd was, maar dat bleek niet het geval. Rebane stelt dat de kwetsbaarheid door de gepubliceerde exploitcode 'vrij makkelijk' te misbruiken is. Het is niet bekend of er op korte termijn een patch valt te verwachten.

Chromium-logo

Door Jasper Bakker

Nieuwsredacteur

Feedback • 21-05-2026 11:15
28 • submitter: tszcheetah

21-05-2026 • 11:15

28

Submitter: tszcheetah

Lees meer

Mozilla dankt Firefox-groei van 6 miljoen gebruikers aan Digital Markets Act
Mozilla dankt Firefox-groei van 6 miljoen gebruikers aan Digital Markets Act Nieuws van 12 mei 2026
Linux Foundation zet browserengine Servo op platform voor Rust-bibliotheken
Linux Foundation zet browserengine Servo op platform voor Rust-bibliotheken Nieuws van 13 april 2026
Samsung brengt Galaxy AI-browser uit voor Windows
Samsung brengt Galaxy AI-browser uit voor Windows Nieuws van 26 maart 2026
Opensource browserengine Ladybird stapt deels over naar Rust voor veiligheid
Opensource browserengine Ladybird stapt deels over naar Rust voor veiligheid Nieuws van 23 februari 2026
Meer producten en artikelen
Browsers Politiek en recht Privacy Google Chrome Beveiliging Browser Chromium Cybercrime Cybersecurity

Reacties (28)

-Moderatie-faq
28
26
14
1
0
4
Wijzig sortering

Sorteer op:

Weergave:
Freeaqingme 21 mei 2026 11:30
Voor de duidelijkheid; die security researcher heeft het gewoon netjes gemeld. Daar is binnen Google vervolgens een ticket voor aangemaakt. Dat ticket is op vertrouwelijk (=niet publiek) gezet, en vervolgens is er ogenschijnlijk niet zo veel mee gedaan.

Recentelijk heeft iemand bij Google - vermoedelijk per ongeluk - de vertrouwelijkheid van dat ticket gehaald. Daarmee werd het publiek inzichtelijk. Die security researcher heeft dat aangegrepen om zijn haar werk te publiceren, Google had het immers publiek gemaakt.

Vervolgens heeft Google het ticket weer op vertrouwelijk gezet. En zitten we dus met een situatie waarbij het lek nog steeds niet gefixed is, allerlei mensen wel het ticket hebben kunnen lezen, en het nu mogelijk is om javascript uit te voeren op het root proces van je Chromium browser. Dat blijft dan dus draaien ook als je tabs of vensters sluit (bijv. bij Edge blijft dat proces gewoon actief, ook als je alle vensters sluit).

Vermoedelijk dus een foutje van iemand bij Google. Maar ook schandelijk dat zoiets 29+ maanden duurt om op te lossen. Want als 1 iemand het vindt, dan is de kans groot dat iemand anders (al dan niet statelijke actoren) het ook vindt.

[Reactie gewijzigd door Freeaqingme op 21 mei 2026 11:57]

Reageer
The Zep Man
@Freeaqingme21 mei 2026 11:42
Vermoedelijk dus een foutje van iemand bij Google. Maar ook schandelijk dat zoiets 29+ maanden duurt om op te lossen. Want als 1 iemand het vindt, dan is de kans groot dat iemand anders (al dan niet statelijke actoren) het ook vindt.
Een onderdeel van coordinated vulnerability disclosure/responsible disclosure is dat een externe ontdekker van een kwetsbaarheid een (redelijke) termijn kan stellen voordat iets publiekelijk gepubliceerd wordt. Google zelf hanteert een veel kortere termijn wanneer zij elders kwetsbaarheden vinden, dus mag nu niet klagen.
Reageer
Nizbog @Freeaqingme21 mei 2026 11:42
Nog een rede om zo veel mogelijk alleen open source producten te gebruiken. Er is veel meer aansprakelijkheid en als de community het belang ergens van inziet is het binnen een dag gefixt (zelfs als de maintainers niet meewerken, dan maakt iemand gewoon een fork).

Dit is ook een goede demonstratie van waarom het zo slecht is dat één grotendeels closed source browser een monopolie heeft.

edit: voordat iemand er over begint, ik weet dat chromium zelf wel open source is. Maar de ontwikkeling is niet democratisch en de meeste mensen gebruiken derivaten die niet open source zijn (edge, chrome)

[Reactie gewijzigd door Nizbog op 21 mei 2026 11:48]

Reageer
chaozz @Freeaqingme21 mei 2026 11:44
Het is vast per abuis, maar deze beveiligingsonderzoeker is een dame en dus is het `haar werk`, niet `zijn werk`. Verder bedankt voor je heldere analyse.
Reageer
YES @SED21 mei 2026 12:35
@chaozz benoemt het gewoon, in niets blijkt dat diegene lange tenen heeft. En "zijn" slaat in die zin wel degelijk op geslacht, dus de correctie van @chaozz is gewoon feitelijk correct.

[Reactie gewijzigd door YES op 21 mei 2026 12:35]

Reageer
chaozz @SED21 mei 2026 12:39
Dan heb je mijn comment echt met de verkeerde toon gelezen, en dat is gezien sommige discussies op het gebied van gender misschien ook niet zo vreemd. Dat is helemaal niet de intentie van mijn comment. Ik vermoed alleen dat het percentage dames in de wereld van beveiligingsonderzoekers gering (aanname) is en het misschien een goed idee is om ze in ieder geval juist te benoemen.

tldr; Ik vond het gewoon tof om te lezen dat het een dame betrof en wilde dat even benadrukken. Ik garandeer je dat mijn tenen net zolang zijn als die van jou ;)
Reageer
catfish @nutty21 mei 2026 13:32
Of juist wel slim.

Soms is het nodig om wat druk te zetten. Dat lijkt hier wel nodig als het al +2 jaar open stond.
Reageer
Stijnvi 21 mei 2026 11:19
Is het dan ook mogelijk om dit te gebruiken voor session hijacking? Want dat zou wel echt een heel groot probleem zijn.
Reageer
Nizbog @Stijnvi21 mei 2026 11:46
Het draait als een javascript service worker onder het root proces van de browser, dus zo te zien is het wel gesandboxed. Het heeft wel netwerk toegang.
Reageer
UnanyMoose 21 mei 2026 11:22
Het issue is alweer private gemaakt. Misschien dat het nu snel opgelost word?
Reageer
GameNympho @UnanyMoose21 mei 2026 11:28
Of het schaamrood op de kaken en weer terug naar de vergaderkamer om er over te debatteren, maar ik denk het niet.
Reageer
Aws 21 mei 2026 12:24
Voorlopig maar even extra scherp zijn op welke vage sites we bezoeken, want die exploitcode is natuurlijk al lang en breed gescraped door partijen die er wel misbruik van willen maken. Hopelijk pushen Edge, Brave en de rest sneller een workaround dan Google zelf, want wachten op een patch zonder ETA is na 2,5 jaar wel een heel schraal advies.
Reageer
beerse 21 mei 2026 12:45
Dit is een issue in Chromium en daarmee in een lange lijst aan andere browsers. Maar is er ook bekend in welk deel van Chromium het een issue is? Veel browsers gebruiken een verschillend deel van de browser. Microsoft haalt voor edge zo ongeveer alles 'google' er uit en zet daar haar eigen spul in. Van Opera en/of Vivaldi weet ik dat ze praktisch alleen de render-engine gebruiken. Andere browsers pakken Chromium en voegen daar alleen maar zaken aan toe.

En uiteindelijk ga ik er van uit dat Chrome zelf ook vatbaar is. Als google Chrome zelf wel al heeft aangepast, dan heeft ze mogelijk een issue met de opensource-regel, in veel gevallen moet je aanpassingen aan de opensource code namelijk terug geven.
Reageer
Vexxon 21 mei 2026 13:17
Weet je nog dat Google dit soort na een 30 dagen gewoon publiceerde wanneer het over andere softwareleveranciers ging?
Reageer
Bux666 21 mei 2026 13:25
Ik heb het al als verbetering gesubmit, maar uit frustratie zet ik het ook nog hier neer.
Google liet exploitcode uitlekken voor 2,5 jaar oud gat in Chromium-browsers
2,5 jaar oud → 3,5 jaar oud (Ars Technica heeft het fout en Tweakers kopieert dat)
De kwetsbaarheid werd 29 maanden geleden gemeld door een beveiligingsonderzoeker.
29 maanden geleden → 42 maanden geleden (zie de 'Submitted date' op de screenshot op Infosec Exchange die in het artikel is genoemd)

Bij dit soort fouten, gewoon het klakkeloos overnemen van de fouten van de bron terwijl je alle informatie zelf post, vraag ik me serieus af waar de journalistiek is? Als ik het kan vinden, waarom schrijft Tweakers het fout?
Reageer
Helox-in-a-box 21 mei 2026 13:53
Kennelijk geldt het 90+30 policy niet voor hunzelf: https://projectzero.google/vulnerability-disclosure-policy.html
Reageer
Loller1
21 mei 2026 11:55
Andermaal een mooi voorbeeld van Google dat functioneert op het moto "doe als ik zeg, niet als ik doe". Als dit een ander bedrijf was geweest met een lek dat Google had ontdekt, dan had dit lek al 26 maanden geleden gewoon online gestaan.
Reageer
HansvDr @Loller121 mei 2026 13:38
Zo is dat. Ik snap ook niet dat dit zolang verborgen bleef aangezien Google zelf meestal niet zo netjes is.
Reageer
chrome moral 21 mei 2026 12:12
Ik raad sowieso iedereen aan om geen Chrome te gebruiken maar Safari, en als het echt moet of je niets anders kunt: Firefox. Dit is niet alleen beter voor de veiligheid en privacy, maar ook voor je stroomverbruik en dus beter voor het milieu.
Reageer
Triblade_8472 @chrome moral21 mei 2026 12:47
Kan jij aangeven waar ik Safari voor Windows kan verkrijgen?

Daarnaast verzamelt Safari ook van alles, alleen gebruiken ze het niet voor ads, maar voor zichzelf. Het milieu red je er dus echt niet mee.
Reageer
grq @Triblade_847221 mei 2026 12:51
Kan jij aangeven waar ik Safari voor Windows kan verkrijgen?
Internet Archive, de laatste versie is wel al 14 jaar oud dus je zult voornamelijk stroom besparen doordat je het vrijwel niet meer kunt gebruiken.
Reageer
bussie66 @grq21 mei 2026 12:54
:*)
Reageer
Henk Poley @grq21 mei 2026 14:04
Je kan ook nog een WebKit test build voor Windows downloaden. Die werkt super sloom, maar wel net als Safari. Ik meende dat ze er mee gestopt waren, maar kennelijk niet dus.

Windows port - WebKit Documentation
Reageer

Om te kunnen reageren moet je ingelogd zijn