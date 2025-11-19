De kwetsbaarheid, CVE-2025-13223, zit in V8, de JavaScript-engine van Chrome. Door een fout in hoe bepaalde datatypes worden verwerkt, kan er geheugencorruptie ontstaan. Met andere woorden: een aanvaller kan via een speciaal geprepareerde webpagina code uitvoeren die je browser helemaal in de war brengt, of erger. Het lek werd ontdekt door Googles eigen Threat Analysis Group (TAG), het team dat overheden, Advanced Persistent Threats (APT’s) en georganiseerde cybercampagnes monitort. Als zij aan de alarmbel trekken, is het doorgaans menens.

Google beschrijft het zelf als een ’type confusion’-fout, maar in mensentaal komt het erop neer dat Chrome bepaalde data blind vertrouwt. Daardoor krijgen kwaadwilligen precies genoeg speelruimte om misbruik te maken. En dat hebben ze helaas gedaan: Google bevestigt dat het lek actief wordt uitgebuit. Daarmee valt het meteen in de categorie ‘zero-days’ waar hackers op hopen: een kwetsbaarheid waar nog geen patch voor bestaat, maar die wel al handig kan worden ingezet voor aanvallen.

Zevende zero-daylek dit jaar

Het is al het zevende zero-daylek in Chrome dit jaar. Eerdere kritieke gaten werden in maart, mei, juni, juli en september gedicht. Dat toont vooral hoe immens populair Chrome is (én hoe interessant de browser helaas is voor hackers). Gelukkig is er dit keer snel een patch beschikbaar. Chrome ontvangt de update normaal gezien automatisch, maar blind vertrouwen daarop is geen goed idee. Daarom check je best of je de nieuwste versie van Google Chrome draait. Klik rechtsboven op de drie puntjes. Ga naar Help → Over Google Chrome. Chrome zoekt automatisch naar updates en installeert die meteen.

Na de herstart moet je versie 142.0.7444.175/.176 (Windows), 142.0.7444.176 (Mac) of 142.0.7444.175 (Linux) zien staan. Zie je een oudere versie? Dan is de update nog niet volledig geïnstalleerd of geblokkeerd door een bedrijfsomgeving.