heise PlusAbo
Anzeige
Alert!

Chrome-Update stopft attackierte Sicherheitslücke

Google hat in der Nacht zum Donnerstag den Webbrowser Chrome aktualisiert. Das Update schließt eine angegriffene Sicherheitslücke.

vorlesen Druckansicht 4 Kommentare lesen
Verzerrtes Chrome-Logo und Achtung-Schild vor Matrix-Zeichenregen-Hintergrund

(Bild: heise online / dmk)

Update
Lesezeit: 3 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Google hat in der Nacht zum Donnerstag den Webbrowser Chrome aktualisert. Mit dem Update stopft der Hersteller auch eine bereits in freier Wildbahn attackierte Sicherheitslücke.

Das erklärt Google in der Versionsankündigung. „Google ist bekannt, dass ein Exploit in freier Wildbahn existiert“ schreiben die Entwickler dort und nennen zwar eine Issue-Nummer, hielten sich zunächst mit etwaigen Details zur Lücke jedoch zurück. Lediglich die Einstufung des Risikos als „hoch“ nannten sie, jedoch nicht einmal die betroffene Komponente des Browsers. Eine CVE-Nummer gab es offenbar ebenfalls noch nicht.

Inzwischen hat Google Informationen nachgeliefert. Der Schwachstellenbeschreibung zufolge handelt es sich um einen Fehler in der Angle-Komponente, eine WebGL-Render-Bibliothek, durch den Angreifer mit manipulierten Webseiten auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen kann (out of bounds memory access). Die Sicherheitslücke betrifft zudem laut Erklärung ausschließlich Chrome unter macOS (CVE-2025-14174, CVSS 8.8, Risiko „hoch“).

Insgesamt drei Sicherheitslücken

Zudem gibt es zwei weitere Schwachstellen, die das Release ausbessert. Angreifer können eine Use-after-free-Lücke im Passwort-Manager ausnutzen, was oftmals das Einschleusen und Ausführen von Schadcode ermöglicht. Das scheint jedoch aufgrund der Bedrohungseinschätzung nicht allzu leicht zu klappen (CVE-2025-14372, Risiko „mittel“). Außerdem können bösartige Akteure offenbar eine „unangemessene Implementierung“ in der Toolbar für nicht näher genannte schädliche Aktionen ausnutzen (CVE-2025-14373, Risiko „mittel“).

Videos by heise

Chrome-Nutzer und -Nutzerinnen sollten sicherstellen, dass sie die neuen Softwareversionen einsetzen.

Software-Stand prüfen

Die Fehler bessert Google in Chrome 143.0.7499.109 für Android, 143.0.7499.109 für Linux sowie 143.0.7499.109/.110 für macOS und Windows aus. Zudem steht als Extended-Stable-Fassung der Build 142.0.7499.235 für macOS und Windows bereit. Auf der Chromium-Basis aufsetzende Browser wie Microsofts Edge dürften in Kürze ebenfalls in fehlerbereinigter Version vorliegen.

Ob die Software bereits auf aktuellem Stand ist, verrät der Versionsdialog. Der ist über das Browser-Menü, das sich in Chrome durch Klick auf das Symbol mit den drei aufeinander gestapelten Punkten rechts von der Adressleiste öffnet, und dem weiteren Weg über „Hilfe“ – „Über Google Chrome“ erreichbar.

Der Versionsdialog des Webbrowsers zeigt den aktuell laufenden Software-Stand an und startet bei Verfügbarkeit die Aktualisierung.

(Bild: heise medien)

Ist eine Aktualisierung verfügbar, startet das den Update-Vorgang und fordert im Anschluss zum nötigen Browser-Neustart auf. Unter Linux ist in der Regel der Aufruf der distributionseigenen Softwareverwaltung für die Aktualisierung nötig.

Zuletzt hatte Google Mitte November eine Schwachstelle in Chrome stopfen müssen, die bereits von Angreifern aus dem Netz attackiert wurde.

Siehe auch:

Update

Inzwischen verfügbare Schwachstelleninformationen ergänzt.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten