Google heeft woensdag beveiligingsupdates voor zijn Chrome-browser uitgebracht om drie beveiligingsfouten aan te pakken, waaronder één waarvan wordt gezegd dat deze in het wild actief wordt uitgebuit.
De kwetsbaarheid, die hoog in ernst wordt beoordeeld, wordt gevolgd onder de Chromium issue tracker ID “466192044.” In tegenstelling tot andere openbaarmakingen heeft Google ervoor gekozen om informatie over de CVE-identificatie, het betrokken onderdeel en de aard van de fout geheim te houden.
Uit een GitHub-commit voor de Chromium-bug-ID is echter gebleken dat het probleem zich in de open-source Almost Native Graphics Layer Engine (ANGLE)-bibliotheek van Google bevindt, waarbij het commit-bericht luidt: “Metal: Gebruik geen pixelsDepthPitch om buffers te vergroten. pixelsDepthPitch is gebaseerd op GL_UNPACK_IMAGE_HEIGHT, wat kleiner kan zijn dan de afbeeldingshoogte.”
Dit geeft aan dat het probleem waarschijnlijk een bufferoverloopkwetsbaarheid in de Metal-renderer van ANGLE is, veroorzaakt door een onjuiste buffergrootte, wat kan leiden tot geheugenbeschadiging, programmacrashes of uitvoering van willekeurige code.
“Google is zich ervan bewust dat er in het wild een exploit voor 466192044 bestaat”, merkte het bedrijf op, eraan toevoegend dat meer details “onder coördinatie” zijn.
Uiteraard heeft de technologiegigant ook geen details bekendgemaakt over de identiteit van de dreigingsactoren achter de aanvallen, die mogelijk het doelwit waren, of de omvang van dergelijke inspanningen.
Dit wordt meestal gedaan om ervoor te zorgen dat een meerderheid van de gebruikers de oplossingen heeft toegepast en om te voorkomen dat andere slechte actoren de patch reverse-engineeren en hun eigen exploits ontwikkelen.
Met de nieuwste update heeft Google acht zero-day-fouten in Chrome aangepakt die sinds begin dit jaar actief zijn uitgebuit of gedemonstreerd als proof-of-concept (PoC). De lijst omvat CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554, CVE-2025-6558, CVE-2025-10585 en CVE-2025-13223.
Ook door Google aangepakt zijn twee andere kwetsbaarheden van gemiddelde ernst:
- CVE-2025-14372 – Gebruik-na-gratis in Wachtwoordbeheer
- CVE-2025-14373 – Ongepaste implementatie in de werkbalk
Ter bescherming tegen mogelijke bedreigingen wordt geadviseerd om de Chrome-browser bij te werken naar versie 143.0.7499.109/.110 voor Windows en Apple macOS, en 143.0.7499.109 voor Linux. Om er zeker van te zijn dat de nieuwste updates zijn geïnstalleerd, kunnen gebruikers naar Meer > Help > Over Google Chrome navigeren en Opnieuw starten selecteren.
Gebruikers van andere Chromium-gebaseerde browsers, zoals Microsoft Edge, Brave, Opera en Vivaldi, worden ook geadviseerd om de oplossingen toe te passen zodra deze beschikbaar komen.
