Google heeft dinsdag fixes uitgerold voor zes beveiligingsproblemen in zijn Chrome -webbrowser, waaronder een waarvan het zei dat het in het wild is uitgebuit.
De betreffende kwetsbaarheid in kwestie is CVE-2025-6558 (CVSS -score: 8.8), die is beschreven als een onjuiste validatie van niet -vertrouwde invoer in de hoek van de browser en GPU -componenten.
“Onvoldoende validatie van niet -vertrouwde invoer in Angle en GPU in Google Chrome vóór 138.0.7204.157 stond een externe aanvaller in staat om mogelijk een Sandbox -ontsnapping uit te voeren via een vervaardigde HTML -pagina,” volgens de beschrijving van de fouten van de NIST’s National Quernerability -database (NVD).
Angle, kort voor “bijna native grafische laagmotor”, fungeert als een vertaallaag tussen de renderingmotor van Chrome en apparaatspecifieke grafische stuurprogramma’s. Kwetsbaarheden in de module kunnen aanvallers de sandbox van Chrome laten ontsnappen door GPU-bewerkingen op laag niveau te misbruiken die browsers meestal geïsoleerd blijven, waardoor dit een zeldzaam maar krachtig pad is naar diepere toegang tot het systeem.
Voor de meeste gebruikers betekent een sandbox -ontsnapping als deze dat het bezoeken van een kwaadwillende site voldoende is om mogelijk uit de beveiligingsbubbel van de browser te breken en te communiceren met het onderliggende systeem. Dit is vooral van cruciaal belang bij gerichte aanvallen waarbij alleen het openen van een webpagina een stil compromis zou kunnen activeren zonder dat u een download of klik nodig hebt.
Clément Lecigne en Vlad Stolyarov van Google’s Threat Analysis Group (TAG) zijn gecrediteerd voor het ontdekken en rapporteren van de nul-daagse kwetsbaarheid op 23 juni 2025.
De exacte aard van de aanvallen die de fout bewapent, is niet bekendgemaakt, maar Google erkende dat een “exploit voor CVE-2025-6558 in het wild bestaat.” Dat gezegd hebbende, de ontdekking van tag verwijst naar de mogelijkheid van betrokkenheid van natiestaten.
De ontwikkeling komt ongeveer twee weken nadat Google een andere actief geëxploiteerd Chrome Zero-Day had aangepakt (CVE-2025-6554, CVSS-score: 8.1), die ook werd gemeld door Lecigne op 25 juni 2025.
Google heeft in totaal vijf nul-day kwetsbaarheden in Chrome opgelost die sinds het begin van het jaar actief zijn benut of aangetoond als een proof-of-concept (POC). Dit omvat: CVE-2025-2783, CVE-2025-4664, CVE-2025-5419 en CVE-2025-6554.
Om te beschermen tegen potentiële bedreigingen, wordt geadviseerd om hun Chrome -browser bij te werken naar versies 138.0.7204.157/.158 voor Windows en Apple MacOS en 138.0.7204.157 voor Linux. Om ervoor te zorgen dat de nieuwste updates zijn geïnstalleerd, kunnen gebruikers naar meer> help> over Google Chrome navigeren en opnieuw selecteren.
Gebruikers van andere chroomgebaseerde browsers zoals Microsoft Edge, Brave, Opera en Vivaldi worden ook geadviseerd om de fixes toe te passen wanneer en wanneer ze beschikbaar komen.
Dit soort problemen vallen vaak onder bredere categorieën zoals GPU Sandbox-ontsnappingen, schadergerelateerde bugs of WebGL-kwetsbaarheden. Hoewel ze niet altijd het hoofd krijgen, komen ze de neiging om weer op te duiken in geketende exploits of gerichte aanvallen. Als u Chrome-beveiligingsupdates volgt, is het de moeite waard om in de gaten te houden voor grafische stuurprogramma’s, bypasses voor privilege grenzen en geheugencorruptie bij het weergeven van paden, omdat ze vaak wijzen op de volgende ronde van patch-waardige bugs.
