Im populären Webbrowser Chrome attackieren bösartige Akteure eine hochriskante Sicherheitslücke. Google stellt ein Update außer der Reihe bereit, das die Schwachstelle ausbessert. Chrome-Nutzerinnen und -Nutzer sollten die Aktualisierung zügig installieren.
Davor warnt Google in der Meldung des Updates. Details nennt das Unternehmen wie üblich nicht, lediglich die grobe Beschreibung, dass es sich um eine Schwachstelle der Art "Type Confusion" in der Javascript-Engine V8 handelt (CVE-2025-13223). Bei einer Type-Confusion passen die genutzten Datentypen nicht zueinander, was zu Speicherzugriffen außerhalb vorgesehener Grenzen führen kann. Laut Schwachstellenbeschreibung können Angreifer mit sorgsam präparierten Webseiten heap-basierte Störungen provozieren, was in diesem Fall offensichtlich zur Ausführung von eingeschleustem Code führt. Ein Angriffsvektor steht ebenfalls bereit: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. Er führt zu einem CVSS-Wert von 8.8, was dem Risiko "hoch" entspricht und nur ganz knapp die Bewertung "kritisch" verpasst. Wie die Angriffe aussehen und in welchem Umfang sie auftreten, erörtert Google nicht.
Die aktualisierte Browser-Fassung stopft noch ein weiteres Sicherheitsleck. Es handelt sich um eine weitere Type-Confusion-Schwachstelle in der V8-Javascript-Engine. Der Angriffsvektor ist identisch zur bereits angegriffenen Lücke und führt für CVE-2025-13224 zu einem CVSS-Wert von 8.8, Risiko "hoch".
Google beseitigt die Sicherheitslücken in den Chrome-Versionen 142.0.7444.175 für Linux, 142.0.7444.176 für macOS und 142.0.7444.175/.176 für Windows. Ob sie bereits installiert sind, lässt sich über den Versionsdialog herausfinden.
Den erreicht man durch Öffnen des Browser-Einstellungsmenüs durch Klick auf die drei übereinandergestapelten Punkte rechts der Adressleiste. Dort geht es weiter zu "Hilfe" und schließlich zu "Über Google Chrome". Das zeigt die aktuell laufende Version an und startet den Update-Prozess, sofern eine aktuellere Fassung vorliegt. Unter Linux ist die Softwareverwaltung der Distribution für Updates verantwortlich und sollte zur Suche nach Aktualisierungen aufgerufen werden.
Andere Webbrowser, die den Chromium-Code verwenden, dürften in Kürze ebenfalls mit einem Update ausgestattet werden, da die Schwachstelle wahrscheinlich auch darin vorhanden ist. Daher sollten diejenigen, die etwa Microsoft Edge einsetzen, auch regelmäßig den Versionsdialog aufrufen und schauen, ob ein Update bereitsteht.
Zuletzt hatte Google eine bereits aktiv angegriffene Schwachstelle in Chrome Mitte September des Jahres ausbessern müssen. Auch da fand sich eine Lücke in der Javascript-Engine V8.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare