Googles udviklingsteam måtte igen mandag hasteudrulle en sikkerhedsopdatering til Chrome-browseren.
Det skyldes, at man vil lukke en kritisk nul-dagssårbarhed i den centrale JavaScript-motor V8.
Sårbarheden, der har fået navnet CVE-2025-13223, er den tredje af sin slags i år og er allerede blevet udnyttet aktivt af angribere, oplyser selskabet.
Fejlen, der betegnes som en Type Confusion-sårbarhed, har fået en CVSS-score på 8,8 og vurderes dermed som alvorlig.
Den blev opdaget af Clément Lecigne fra Googles egen Threat Analysis Group (TAG), og blev lukket med en såkaldt out-of-band-patch, som er en nødopdatering uden for den normale opdateringscyklus, skriver vores amerikanske søstermedie Computerworld.com.
Google er sparsom med detaljer, men oplyser, at sårbarheden udnyttes aktivt.
V8 rammer bredt
Selv om V8-motoren er mest kendt fra Chrome, bruges den også i en lang række andre Chromium-browsere, herunder Microsoft Edge, Opera og Brave.
Dermed er konsekvenserne potentielt omfattende for både private brugere og virksomheder, som baserer sig på denne browserfamilie.
V8 er en JavaScript-motor skrevet i C++, der håndterer afvikling af scripts i moderne webbrowsere.
Type Confusion-fejl i kan føre til hukommelseskorruption, uautoriseret adgang uden for definerede grænser og i værste fald fjernudførelse af skadelig kode, lyder det.
Ifølge National Vulnerability Database giver sårbarheden i praksis mulighed for, at en angriber kan narre en bruger til at åbne en ondsindet HTML-side og igennem denne potentielt kompromittere systemet via heap corruption.
Derfor er det særlig vigtigt, at der bliver gennemført en hurtig patching, da en sådan sårbarhed kan udnyttes uden brugerens viden eller samtykke.
Giver it-afdelingerne sved på panden
Ud over CVE-2025-13223 har Google i samme opdatering lukket endnu en Type Confusion-sårbarhed i V8, CVE-2025-13224, der også vurderes som alvorlig.
Der er dog ingen tegn på, at denne sårbarhed aktivt udnyttes i skrivende stund.
Virksomheder anbefales i den forbindelse at opdatere Chrome til følgende versioner:
- Windows: 142.0.7444.175/.17
- macOS: 142.0.7444.17
- Linux: 142.0.7444.175
Normalt opdaterer virksomheder via den udvidede stabile kanal (Extended Stable Channel) cirka hver ottende uge for at sikre test og kvalitet.
Men ved nul-dagsfejl som denne bliver rutinen sat ud af kraft, og opdateringer skal typisk udrulles manuelt med det samme.
Ifølge Zbyněk Sopuch, der er CTO i sikkerhedsfirmaet Safetica, er det netop denne uforudsigelighed, der lægger pres på it-afdelingerne, siger han til Computerworld.com.
"For administratorer i virksomhederne er prisen reel, for nul-dagssårbarheder giver sved på panden og hektisk arbejde med at få patchet og testet. Og fordi Chrome-opdateringer kommer uden varsel, hyppigt og hårdt, så får teams aldrig et pusterum," lyder det.
Han peger på, at delte komponenter som V8 har en tendens til at forstærke konsekvenserne.
"Delte komponenter forstørrer skadevirkningen, og indtil det bredere økosystem får patchet i et mere organiseret tempo, så forbliver V8 et af de mest attraktive mål i rummet," siger han videre.
Et yndet mål for cyberkriminelle
Google Chrome har i 2025 alene været ramt af syv nul-dagssårbarheder, hvoraf tre direkte relaterer sig til V8.
De to øvrige er CVE-2025-5419 fra juni og CVE-2025-10585 fra september.
Antallet er ikke ekstraordinært højt i forhold til tidligere år, men det vidner dog om, at Chromium-teknologien fortsat er blandt de mest eftertragtede mål for cyberkriminelle.
For danske virksomheder og offentlige organisationer betyder det, at man skal prioritere opdatering omgående, selvom det kan betyde, at man bryder med den vanlige patch-cyklus.
Samtidig betyder det, at man skal være opmærksom på, om sårbarheden kan eksistere i andre apps eller komponenter, der bygger på Chromium og at der kan gå noget tid, før alle er beskyttet.
