Google-Entwickler haben in ihrem Webbrowser Chrome Sicherheitslücken entdeckt und eine aktualisierte Software veröffentlicht. Angreifer aus dem Netz können durch die Lücken etwa unbefugt Informationen abgreifen. Für diese Schwachstelle kursiert bereits ein Exploit im Netz.
In der Versionsankündigung erklären Googles Entwickler, dass sie vier Sicherheitslücken mit der aktualisierten Fassung abdichten. Da nur zwei davon von externen IT-Forschern gemeldet wurden, liefert Google nur zu diesen beiden überhaupt Informationsschnipsel.
Eine Sicherheitslücke basiert auf einer unzureichenden Richtlinien-Durchsetzung in der Komponente "Loader" von Chrome. Der Schwachstelleneintrag ergänzt dazu, dass Angreifer aus dem Netz dadurch Informationen "cross-origin" mit manipulierten HTML-Seiten abgreifen können – eine Webseite kann dadurch Informationen aus einer anderen abgreifen (CVE-2025-4664 / EUVD-2025-14909, CVSS 4.3, Risiko laut Google "hoch", laut CVSS "mittel"). "Google sind Berichte bekannt, wonach ein Exploit für CVE-2025-4664 in freier Wildbahn existiert", schreibt der Hersteller weiter.
Eine zweite Sicherheitslücke betrifft die Mojo-Komponente – sie dient etwa zur Interprozesskommunikation –, die unter nicht näher beschriebenen Umständenn falsche Handles zurückliefern kann. Die potenziellen Auswirkungen beschreibt Google nicht näher; weder der CVE- noch der EUVD-Eintrag sind bislang öffentlich verfügbar, die in der Regel noch einen Halbsatz mehr an Informationen liefert (CVE-2025-4609, kein CVSS-Wert, Risiko laut Google "hoch"). Zu den beiden weiteren Schwachstellen gibt es bislang keine Informationen außer der, dass sie existieren.
Die fehlerbereinigten Browser-Versionen sind Google Chrome 136.0.7103.125 für Android, 136.0.7103.113 für Linux sowie 136.0.7103.113/114 für macOS und Windows.
Mit Ihrer Zustimmung wird hier eine externe Umfrage (Opinary GmbH) geladen. Umfragen immer laden
Kommentare