Google schließt kritische Sicherheitslücke in Chrome nach aktiver Ausnutzung

LONDON (IT BOLTWISE) – Google hat eine kritische Sicherheitslücke in seinem Chrome-Browser geschlossen, die von Angreifern aktiv ausgenutzt wurde. Diese Schwachstelle, bekannt als CVE-2025-6554, betrifft die V8 JavaScript- und WebAssembly-Engine und ermöglicht es Angreifern, über eine manipulierte HTML-Seite beliebigen Code auszuführen.

Google hat kürzlich eine bedeutende Sicherheitslücke in seinem Chrome-Browser geschlossen, die von Angreifern aktiv ausgenutzt wurde. Die als CVE-2025-6554 bekannte Schwachstelle betrifft die V8 JavaScript- und WebAssembly-Engine und ermöglicht es Angreifern, über eine manipulierte HTML-Seite beliebigen Code auszuführen. Diese Art von Schwachstellen, bekannt als ‘Type Confusion’, kann schwerwiegende Folgen haben, da sie unerwartetes Softwareverhalten auslösen und zu Programmabstürzen führen können.

Besonders gefährlich sind Zero-Day-Schwachstellen, da Angreifer oft damit beginnen, sie auszunutzen, bevor ein Fix verfügbar ist. In der Praxis können solche Schwachstellen es Hackern ermöglichen, Spyware zu installieren, Drive-by-Downloads zu starten oder schädlichen Code auszuführen, manchmal nur durch das Öffnen einer bösartigen Website. Die Entdeckung und Meldung dieser Schwachstelle wurde Clément Lecigne von Googles Threat Analysis Group (TAG) zugeschrieben, was darauf hindeutet, dass sie möglicherweise in hochgradig zielgerichteten Angriffen eingesetzt wurde.

Die Beteiligung von Googles Threat Analysis Group deutet oft darauf hin, dass ein Exploit mit gezielten Angriffen in Verbindung stehen könnte, möglicherweise unter Beteiligung von staatlichen Akteuren oder Überwachungsoperationen. TAG untersucht typischerweise ernsthafte Bedrohungen wie Phishing-Kampagnen, Zero-Click-Exploits oder Versuche, die Browser-Sandbox zu umgehen. Google hat das Problem durch eine Konfigurationsänderung behoben, die am nächsten Tag auf den Stable-Kanal für alle Plattformen ausgerollt wurde.

Für alltägliche Nutzer bedeutet dies, dass die Bedrohung möglicherweise noch nicht weit verbreitet ist, es jedoch dringend erforderlich ist, den Patch zu installieren, insbesondere wenn man in Rollen tätig ist, die mit sensiblen oder wertvollen Daten umgehen. Google hat keine weiteren Details über die Schwachstelle und mögliche Ausnutzungen veröffentlicht, aber anerkannt, dass ein Exploit für CVE-2025-6554 in freier Wildbahn existiert.

Dies ist die vierte Zero-Day-Schwachstelle in Chrome, die Google seit Jahresbeginn behoben hat, nach CVE-2025-2783, CVE-2025-4664 und CVE-2025-5419. Es ist jedoch unklar, ob CVE-2025-4664 in einem bösartigen Kontext missbraucht wurde. Um sich vor potenziellen Bedrohungen zu schützen, wird empfohlen, den Chrome-Browser auf die Versionen 138.0.7204.96/.97 für Windows, 138.0.7204.92/.93 für macOS und 138.0.7204.96 für Linux zu aktualisieren.

Wer sich nicht sicher ist, ob der Browser auf dem neuesten Stand ist, sollte zu Einstellungen > Hilfe > Über Google Chrome gehen, was das neueste Update automatisch auslösen sollte. Für Unternehmen und IT-Teams, die mehrere Endpunkte verwalten, ist es entscheidend, automatisches Patch-Management zu aktivieren und die Einhaltung der Browser-Version zu überwachen. Auch Nutzern anderer Chromium-basierter Browser wie Microsoft Edge, Brave, Opera und Vivaldi wird geraten, die Fixes anzuwenden, sobald sie verfügbar sind.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!