Webbrowser: Kritische SicherheitslĂĽcke in Chrome abgedichtet
Google stopft ein als kritisches Risiko eingestuftes Sicherheitsleck im Webbrowser Chrome. Nutzer sollten zĂĽgig aktualisieren.
Sicherheitslücken in Google Chrome gefährden Nutzerinnen und Nutzer.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Der Webbrowser Chrome ist in aktualisierter Version erschienen – und schließt damit eine als kritisch einsortierte Sicherheitslücke. Chrome-Nutzerinnen und -Nutzer sollten sicherstellen, dass die aktuelle Fassung bei ihnen läuft.
In einer Versionsankündigung umreißen Googles Entwickler die Schwachstellen sehr knapp, die die neue Fassung schließt. "Heap-basierter Pufferüberlauf in Codecs", deuten sie dort an, mit dem CVE-Eintrag CVE-2025-3619 und der Einstufung des Risiko als "kritisch". Ein konkreter CVSS-Wert fehlt, wie es bei Googles Chrome-Schwachstellenmeldungen üblich ist. Es gibt keine weiteren Details, aber es lässt sich herleiten, dass bereits das Verarbeiten manipulierter Multimediadateien wie Videos zur Kompromittierung des Geräts führen kann.
Zwei SicherheitslĂĽcken in Chrome
Bei der zweiten Lücke handelt es sich um eine Use-after-free-Schwachstelle im USB-Code von Chrome. Dabei greift der Programmcode fälschlicherweise auf Ressourcen zu, die zuvor bereits freigegeben wurden und deren Inhalt daher undefiniert ist. Oftmals kann das zum Einschleusen und Ausführen von Schadcode missbraucht werden – offenbar auch in diesem Fall, was die Risikoeinstufung als "hoch" für den CVE-Eintrag CVE-2025-3620 impliziert.
Die Browser-Versionen 135.0.7049.95/.96 fĂĽr macOS und Windows, 135.0.7049.95 fĂĽr Linux, 135.0.7049.100 fĂĽr Android sowie die Extended-Stable-Fassung 134.0.6998.205 fĂĽr macOS und Windows stellen den derzeit aktuellen Stand dar. Sie enthalten die SicherheitslĂĽcken nicht mehr.
Videos by heise
Der Klick auf das Icon mit den drei übereinandergestapelten Punkten rechts von der Adressleiste des Browsers öffnet das Chrome-Menü, Unter "Hilfe" – "Über Google Chrome" gelangt man zum Versionsdialog. Der zeigt die aktuell laufende Softwarefassung an. Sind Updates verfügbar, lädt der Dialog sie gleich herunter und installiert sie, um im Anschluss zum Browser-Neustart zur Aktivierung der fehlerkorrigierten Software aufzufordern. Unter Linux zeichnet in der Regel die Softwareverwaltung der eingesetzten Distribution für das Update verantwortlich.
Die Schwachstellen dĂĽrften auch andere Chromium-basierte Webbrowser wie Microsoft Edge betreffen, hierfĂĽr sind ebenfalls in KĂĽrze Software-Updates zu erwarten. Auch die sollten Nutzerinnen und Nutzer zĂĽgig anwenden.
Schwachstellen in populären Webbrowsern sind bevorzugtes Ziel von Cyberkriminellen, so auch vor etwa drei Wochen, als Kriminelle eine Chrome-Sicherheitslücke in freier Wildbahn angegriffen haben. Das Update sollte daher nicht auf die lange Bank geschoben werden.
(dmk)
