Google heeft updates uitgebracht om een kwetsbaarheid in Chrome aan te pakken die actief wordt misbruikt. Het beveiligingsprobleem, aangeduid als CVE-2025-13223, bevindt zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken. V8 is vaak het doelwit van aanvallen waarbij nog geen patch beschikbaar is. De nieuwste kwetsbaarheid in V8 werd op 12 november gemeld door de Google Threat Analysis Group, die zich richt op aanvallen door overheden tegen Google en zijn gebruikers. Google heeft geen details vrijgegeven over de aanvallen. De kwetsbaarheid is als 'high' beoordeeld, wat betekent dat een aanvaller code binnen de browsercontext kan uitvoeren, mogelijk toegang krijgend tot gevoelige gebruikersinformatie. Kwetsbaarheden die ontsnapping uit de Chrome-sandbox mogelijk maken, vallen ook in deze categorie. Voor volledige systeemovername is echter een tweede kwetsbaarheid nodig, bijvoorbeeld in het besturingssysteem.

De kwetsbaarheid is opgelost in Google Chrome 142.0.7444.175/.176 voor Windows en macOS en Chrome 142.0.7444.175 voor Linux. De meeste systemen zullen automatisch updaten, maar dit kan bij 'high'-kwetsbaarheden tot zestig dagen duren. Gebruikers die de update direct willen, moeten handmatig controleren. Voor Microsoft Edge, dat ook op Chromium is gebaseerd, is nog geen update beschikbaar. In juni en september waarschuwde Google al drie keer voor een actief aangevallen V8-lek.