Chrome-Sicherheitslücke mit Exploit in freier Wildbahn
Google-Entwickler haben in ihrem Webbrowser Chrome Sicherheitslücken entdeckt und eine aktualisierte Software veröffentlicht. Angreifer aus dem Netz können durch die Lücken etwa unbefugt Informationen abgreifen. Für diese Schwachstelle kursiert bereits ein Exploit im Netz.
In der Versionsankündigung erklären Googles Entwickler, dass sie vier Sicherheitslücken mit der aktualisierten Fassung abdichten. Da nur zwei davon von externen IT-Forschern gemeldet wurden, liefert Google nur zu diesen beiden überhaupt Informationsschnipsel.
Google Chrome: Schwachstelle mit Exploit
Eine Sicherheitslücke basiert auf einer unzureichenden Richtlinien-Durchsetzung in der Komponente "Loader" von Chrome. Der Schwachstelleneintrag ergänzt dazu, dass Angreifer aus dem Netz dadurch Informationen "cross-origin" mit manipulierten HTML-Seiten abgreifen können – eine Webseite kann dadurch Informationen aus einer anderen abgreifen (CVE-2025-4664 / EUVD-2025-14909, CVSS 4.3, Risiko laut Google "hoch", laut CVSS "mittel"). "Google sind Berichte bekannt, wonach ein Exploit für CVE-2025-4664 in freier Wildbahn existiert", schreibt der Hersteller weiter.
Eine zweite Sicherheitslücke betrifft die Mojo-Komponente – sie dient etwa zur Interprozesskommunikation –, die unter nicht näher beschriebenen Umständenn falsche Handles zurückliefern kann. Die potenziellen Auswirkungen beschreibt Google nicht näher; weder der CVE- noch der EUVD-Eintrag sind bislang öffentlich verfügbar, die in der Regel noch einen Halbsatz mehr an Informationen liefert (CVE-2025-4609, kein CVSS-Wert, Risiko laut Google "hoch"). Zu den beiden weiteren Schwachstellen gibt es bislang keine Informationen außer der, dass sie existieren.
Die fehlerbereinigten Browser-Versionen sind Google Chrome 136.0.7103.125 für Android, 136.0.7103.113 für Linux sowie 136.0.7103.113/114 für macOS und Windows.
Versionsprüfung machen
Die aktualisierten Programmversionen lassen sich mit dem Aufrufen des Versionsdialogs installieren, sofern der Browser noch nicht auf aktuellem Stand ist. Prüfen lässt sich das durch Klick auf das Browser-Menü, das sich hinter dem Symbol mit dem drei aufeinandergestapelten Punkten an der rechten Seite der Adressleiste befindet. Der weitere Weg geht dann über "Hilfe" hin zu "Über Google Chrome".
Unter Linux ist in der Regel die Softwareverwaltung der genutzten Distribution für die Aktualisierung zuständig. Die Sicherheitslücken betreffen die Chromium-Basis und dürften daher auch davon abstammende Browser wie Microsofts Edge anfällig machen. Für den stellt Microsoft meist am Freitag ein Update bereit. Das sollten Nutzerinnen und Nutzer dann zügig anwenden – das gelingt dort ebenfalls über den Versionsdialog.
Gefunden auf https://www.heise.de/news/Chrome-Sicherheitsluecke-mit-Exploit-in-freier-Wildbahn-10384249.html