Alles rund um Windows

Google veröffentlicht Notfall-Patch für Chrome 0-Day

Die sechste Chrome-Sicherheitslücke in diesem Jahr, entdeckt von der Chocolate Factory, wird bereits aktiv ausgenutzt.

Google hat einen Notfall-Patch für eine schwerwiegende Chrome-Sicherheitslücke veröffentlicht, die bereits aktiv ausgenutzt wird. Es ist also an der Zeit, sicherzustellen, dass Sie die neueste Version des Webbrowsers verwenden.

Die Sicherheitslücke mit der Kennung CVE-2025-10585 ist ein Typkonfliktfehler in der V8-JavaScript- und WebAssembly-Engine. Diese Art von Sicherheitslücke tritt auf, wenn die Engine einen Speicherblock fälschlicherweise als einen Objekttyp interpretiert, obwohl es sich tatsächlich um etwas anderes handelt. Dies kann zu Systemabstürzen, der Ausführung von beliebigem Code und, in Verbindung mit anderen Fehlern, möglicherweise zu einer vollständigen Kompromittierung des Systems über eine bösartige HTML-Seite führen.

Google ist bekannt, dass ein Exploit für CVE-2025-10585 im Umlauf ist.

Die Google Threat Analysis Group (TAG) hat die Sicherheitslücke entdeckt und gemeldet. Wie bei Sicherheitslücken bei Google üblich, gibt es keine weiteren Informationen darüber, wer diese Sicherheitslücke ausnutzt und was mit dem illegalen Zugriff gemacht wird.

Angesichts der kriminellen Gruppen, die TAG verfolgt – darunter Spione von Nationalstaaten und kommerzielle Spyware-Anbieter – ist es jedoch wahrscheinlich, dass diese CVE als Zero-Day-Exploit missbraucht wurde, um sensible Informationen zu stehlen und hochkarätige Ziele auszuspionieren.

Um sich vor dieser Sicherheitslücke und drei weiteren schwerwiegenden Chrome-Problemen zu schützen, die am Mittwoch bekannt gegeben und behoben wurden, aktualisieren Sie Ihren Browser auf die Versionen 140.0.7339.185/.186 für Windows und Apple macOS sowie 140.0.7339.185 für Linux.

Chrome-Browser werden automatisch aktualisiert, jedoch möglicherweise nicht sofort, und erfordern nach der Aktualisierung einen Neustart der Anwendung. Um eine sofortige Aktualisierung zu erzwingen, geben Sie chrome://settings/help in Ihre Omnibox ein. Wenn Sie noch nicht über die neueste Version verfügen, wird Ihr Browser diese herunterladen und Sie anschließend auffordern, ihn neu zu starten.

Dies ist der sechste Chrome-Fehler, der in diesem Jahr als Zero-Day-Exploit ausgenutzt wurde – alle wurden inzwischen gepatcht.

Zu den anderen fünf gehören CVE-2025-2783, ein Sandbox-umgehender Fehler, der offenbar von Betrügern genutzt wird, um bestimmte Personen in Russland anzugreifen, und CVE-2025-4664, der von einem Angreifer aus der Ferne ausgenutzt werden könnte, um die Sicherheitsrichtlinien im Loader von Chrome zu umgehen und so die Ausführung von nicht autorisiertem Code oder das Umgehen der Sandbox zu ermöglichen.

Eine weitere V8-Sicherheitslücke, CVE-2025-6554, ermöglichte es einem Angreifer ebenfalls, über eine speziell gestaltete HTML-Seite beliebige Lese-/Schreibvorgänge auszuführen.

Außerdem gab es CVE-2025-5419, eine Out-of-Bounds-Lese- und Schreib-Sicherheitslücke in der V8-JavaScript-Engine, die es einem Angreifer aus der Ferne ermöglichen könnte, den Speicher zu beschädigen und möglicherweise die Ausführung zu kapern. Angreifer könnten den Exploit nutzen, um sensible Daten offenzulegen und/oder beliebigen Code auszuführen und den Computer des Benutzers zum Absturz zu bringen.

Und schließlich konnte CVE-2025-6558 aufgrund unzureichender Validierung nicht vertrauenswürdiger Eingaben in ANGLE und GPU einem Angreifer ermöglichen, mithilfe einer HTML-Seite aus der Sandbox zu fliehen.