Sårbarheter påminner om vikten av uppdaterade webbläsare

I förra veckan rapporterade både svenska och internationella medier om en ny allvarlig sårbarhet i Googles webbläsare Chrome. Det rörde sig om en så kallad nolldagarssårbarhet, det vill säga en sårbarhet som utnyttjades i aktiva attacker innan det fanns någon säkerhetsuppdatering som åtgärdade den. Detaljerna kring sårbarheten är fortfarande okända, men Google rullade under måndagen (2025-06-02) ut en automatisk uppdatering som alla användare uppmanades att installera.

Nolldagarssårbarheter i Chrome och andra Chromium-baserade webbläsare (till exempel Microsoft Edge och Brave) är förhållandevis vanligt förekommande. Sett över tid ligger de dessutom på en konstant nivå. 2023 åtgärdade Google totalt åtta nolldagarssårbarheter i Chrome. I fjol landade siffran på tio sådana sårbarheter. Hittills i år har Google åtgärdat tre nolldagarssårbarheter.

Google har höjt uppdateringstakten

Med anledning av dessa sårbarheter rekommenderas alla användare är att alltid starta om webbläsaren när den indikerar att det finns en uppdatering att installera. Omstartsuppmaningen kan upplevas som ett irritationsmoment eftersom den dyker upp allt oftare, men det har sin förklaring.

Google har successivt höjt uppdateringstakten för att kunna åtgärda säkerhetsbrister ännu snabbare. 2020 började Google släppa nya Chrome-versioner varannan vecka. 2023 övergick Google till dagens veckovisa uppdateringar. Målsättningen med detta var att minska tiden som Chrome-användare var utsatta för attacker mot kända sårbarheter.

Innan Google släpper en ny version av Chrome släpper de först testversioner. Dessa testversioner hjälper Chrome-utvecklarna att upptäcka buggar. Testversionerna avslöjar samtidigt säkerhetsbristerna som utvecklarna planerar att åtgärda i nästa stabila version av webbläsaren.

Genom att öka uppdateringstakten har Google minskat tiden som går mellan avslöjandet och åtgärdandet av kända sårbarheter. Före övergången till uppdateringar varannan vecka låg tidsluckan på i genomsnitt 35 dagar. Google uppger att förändringen minskade luckan till 15 dagar och att övergången till veckoliga uppdateringar beräknades minska den med ytterligare 3,5 dagar. Detta framgår av ett blogginlägg på Googles officiella säkerhetsblogg .

För att hålla webbläsaren säker räcker det dock inte med att Google lyckas rulla ut uppdateringar i högt tempo. Användarna måste också installera uppdateringarna när deras webbläsare indikerar att en ny uppdatering är tillgänglig. Det är därför en god idé att påminna kollegor om varför det är så viktigt att starta om webbläsaren.

Extra skydd mot nolldagarssårbarheter för högsta möjliga säkerhet

Regelbundna säkerhetsuppdateringar tar itu med majoriteten av attackerna som dagens webbläsare utsätts för. Säkerhetsuppdateringar kan dock bara åtgärda brister som Google har fått kännedom om. För att minska risken för att attackeras via okända nolldagarssårbarheter har Chrome-utvecklarna lagt till möjligheten att stänga av en av mest sårbarhetspräglade funktionerna: V8-optimeraren.

V8 är namnet på Chromes javascript-motor, det vill säga den del av webbläsaren som gör att dagens webbappar kan vara lika funktionsrika och interaktiva som traditionella appar för Windows och Mac OS. V8-optimeraren är en funktion som höjer V8-motorns prestanda, vilket sker på bekostnad av säkerheten.

Google anser att V8-optimerarens prestandavinster överstiger dess säkerhetsnackdelar. V8-optimeraren är därför påslagen som standard. Användare som vill ha högsta möjliga säkerhet kan inaktivera den manuellt genom att öppna Inställningar, välja Integritet och säkerhet, klicka på Hantera V8-säkerhet och växla till ”tillåt inte att webbplatser använder V8-optimeraren”.

Motsvarande inställning finns också i Microsoft Edge och i Brave. Microsoft kallar sin implementation av funktionen ”Förbättra säkerheten på webben”. Den kan ställas i antingen balanserat läge eller strikt läge. Balanserat läge gör att V8-optimeraren enbart inaktiveras på webbplatser som användaren sällan besöker (populära webbplatser sprider sällan skadeprogram). Strikt läge inaktiverar V8-optimeraren överallt förutom där användaren har lagt in specifika undantag.

Förra veckans nolldagarssårbarhet låg i V8-motorn men det är ännu inte klarlagt ifall avstängning av V8-optimeraren hade skyddat mot den. SSF Stöldskyddsföreningen ser än så länge inget behov av att rekommendera allmänheten att stänga av V8-optimeraren men tipsar om funktionen för företag som vill ha högsta möjliga säkerhet. För merparten av världens företag är det viktigare att medarbetarna håller sina webbläsare uppdaterade och är restriktiva med vilka webbläsartillägg som de installerar. Läs mer om det sistnämnda i vår guide om val av säkra appar och webbläsartillägg .