Google heeft voor de derde keer binnen een week een kwetsbaarheid in Chrome verholpen waar aanvallers actief misbruik van maakten voordat de update beschikbaar was. Ditmaal betrof het een beveiligingslek in de JavaScript-engine V8, aangeduid als CVE-2024-4947.

De impact van deze kwetsbaarheid wordt als “high” beoordeeld, aangezien het aanvallers in staat stelt om potentieel schadelijke code binnen de browsercontext uit te voeren. Hierdoor kunnen zij bijvoorbeeld data van andere websites lezen of aanpassen, met als doel gevoelige informatie van gebruikers te stelen.

Hoewel beveiligingslekken met het label “high” op zichzelf niet voldoende zijn om een systeem over te nemen, kunnen zij in combinatie met andere kwetsbaarheden ernstige impact hebben. Google heeft echter geen details vrijgegeven over de specifieke doelwitten van de aanvallen of hoe deze werden uitgevoerd.

De recente reeks aan aangevallen beveiligingslekken in Chrome is ongebruikelijk. Sinds 9 mei heeft Google drie van dergelijke kwetsbaarheden gepatcht, waarvan twee gerelateerd waren aan de V8-engine. De totale hoeveelheid actief misbruikte kwetsbaarheden voordat er een patch beschikbaar was, komt daarmee op vijf te staan.

Gebruikers kunnen Google Chrome 125.0.6422.60/.61 updaten naar de nieuwste versie voor macOS, Windows en Linux. Hoewel updates meestal automatisch plaatsvinden, kan het bij actief aangevallen kwetsbaarheden tot zeven dagen duren. Gebruikers die direct willen updaten, kunnen een handmatige controle uitvoeren. Voor gebruikers van Microsoft Edge, dat ook gebaseerd is op de Chromium-browser, is er nog geen update beschikbaar.