Google heeft een ernstig beveiligingslek in zijn Chrome-browser gedicht dat actief werd misbruikt. De kwetsbaarheid, geregistreerd onder CVE-2025-5419, bevond zich in V8, de JavaScript-engine die onder andere wordt gebruikt door Google Chrome en andere Chromium-gebaseerde browsers zoals Microsoft Edge, Opera en Brave. V8 is een frequente doelwit van aanvallers, mede vanwege de complexiteit van het uitvoeren van JavaScript in een browsercontext.

Volgens Google kon de kwetsbaarheid in het ergste geval leiden tot remote code execution (RCE) binnen de context van de browser. Aanvallers konden via speciaal geprepareerde websites potentieel toegang krijgen tot gevoelige gebruikersgegevens of acties uitvoeren namens de gebruiker. Denk hierbij aan het stelen van sessiecookies, inloggegevens of andere privé-informatie. In sommige gevallen kunnen dergelijke kwetsbaarheden ook gebruikt worden om te ontsnappen uit de zogeheten Chrome-sandbox, de beveiligingslaag die de browser scheidt van het besturingssysteem.

Google heeft de impact van de kwetsbaarheid geclassificeerd als "high severity". Dergelijke lekken zijn op zichzelf meestal niet voldoende om volledige controle over een systeem te verkrijgen; daarvoor is doorgaans een tweede kwetsbaarheid in bijvoorbeeld het besturingssysteem vereist. Toch vormen ze een ernstig risico, met name wanneer ze worden ingezet als onderdeel van een bredere exploit chain.

De kwetsbaarheid werd op 27 mei 2025 gemeld door twee onderzoekers van de Google Threat Analysis Group (TAG). Deze gespecialiseerde onderzoekseenheid richt zich op het detecteren en neutraliseren van cyberaanvallen die worden uitgevoerd of gesteund door overheden wereldwijd. TAG monitort actief cyberspionage, hack-for-hire-campagnes en andere geavanceerde bedreigingen gericht tegen journalisten, activisten, oppositiegroepen en andere risicogroepen.

Google heeft de kwetsbaarheid op 28 mei 2025 verholpen via een configuratiewijziging, die direct werd uitgerold naar gebruikers via een automatische update. Verdere technische details over de kwetsbaarheid, het precieze karakter van de aanvallen of de configuratiewijziging zelf zijn door Google (nog) niet openbaar gemaakt. Dit is gebruikelijk beleid zolang nog niet alle gebruikers de update hebben ontvangen, om verdere misbruikpogingen te voorkomen.

Gebruikers van Chrome wordt geadviseerd hun browser zo snel mogelijk te updaten naar de nieuwste versie om beschermd te zijn tegen deze en andere kwetsbaarheden. De meest recente versie is te controleren via Instellingen > Over Chrome, waarna de browser automatisch controleert op updates en deze installeert.