Chrome: Notfall-Updates gegen aktive Hackerangriffe
Google schließt mehrere kritische Sicherheitslücken in Chrome, darunter einen aktiv ausgenutzten Zero-Day-Exploit. Die US-Cybersicherheitsbehörde CISA warnt vor akuter Gefahr und ordnet Updates für Bundesbehörden an.
Google schließt kritische Sicherheitslücken in seinem Browser – eine wird bereits ausgenutzt. Die US-Regierung warnt vor sofortiger Gefahr für Milliarden Nutzer.
Eine Schwachstelle ist besonders brisant: CVE-2025-10585 wird bereits aktiv von Angreifern ausgenutzt. Das bestätigte Google diese Woche und veröffentlichte umgehend Notfall-Updates für Chrome. Die kritischen Patches sollen Nutzer vor Datendiebstahl, Systemabstürzen und der Ausführung von Schadcode schützen.
Die Sicherheitswelle begann am 18. September mit einem Notfall-Patch gegen die Zero-Day-Lücke. Am 24. September folgte ein weiteres Update, das drei zusätzliche schwerwiegende Bugs behebt. Diese schnelle Abfolge verdeutlicht die anhaltenden Bedrohungen für einen der weltweit populärsten Browser.
Zero-Day-Angriff auf JavaScript-Engine
Die größte Bedrohung stellt CVE-2025-10585 dar – eine „Type Confusion“-Schwachstelle in Chromes V8 JavaScript-Engine. Bei diesem Fehlertyp greift der Programmcode mit falschen Datentypen auf Speicherbereiche zu, was zu Speicherkorruption führen kann.
Angreifer können diese Verwirrung ausnutzen, um den Browser zum Absturz zu bringen oder eigenen Schadcode auszuführen. Dafür reicht bereits der Besuch einer präparierten Webseite. Entdeckt wurde die Lücke am 16. September von Googles eigener Threat Analysis Group (TAG), die häufig Angriffe staatlicher Akteure und Spyware-Hersteller untersucht.
Das ist bereits der sechste aktiv ausgenutzte Zero-Day-Bug, den Google 2025 in Chrome gepatcht hat. Dies unterstreicht die unerbittliche Fokussierung von Angreifern auf Browser-basierte Exploits.
US-Behörde ordnet Zwangs-Updates an
Die US-Cybersicherheitsbehörde CISA reagierte prompt auf die aktive Ausnutzung. Am 23. September nahm sie CVE-2025-10585 in ihren Katalog bekannter ausgebeuteter Schwachstellen auf. Dies gilt als offizieller Alarm für das erhebliche Risiko.
Alle US-Bundesbehörden müssen bis zum 14. Oktober die Patches installieren oder die Nutzung einstellen. Obwohl diese Direktive nur für Bundeseinrichtungen bindend ist, gilt CISAs Warnung als starke Empfehlung für alle Organisationen und Privatnutzer.
Drei weitere kritische Lücken gestopft
Nur Tage nach dem Zero-Day-Fix veröffentlichte Google am 24. September ein weiteres Notfall-Update. Chrome-Version 140.0.7339.207/.208 schließt drei zusätzliche schwerwiegende Schwachstellen, alle in der V8-Engine:
- CVE-2025-10890: Eine Side-Channel-Lücke, die Angreifern das Ableiten sensibler Daten aus Browsersitzungen ermöglicht
- CVE-2025-10891 und CVE-2025-10892: Zwei Integer-Overflow-Bugs, die zu Systemabstürzen oder Codeausführung führen können
Bemerkenswert: Die beiden Integer-Overflow-Lücken entdeckte Googles KI-basiertes „Big Sleep“-Forschungsprojekt automatisch.
Was Nutzer jetzt tun müssen
Alle Chrome-Nutzer sollten sofort ihre Browser-Version prüfen. Der Patch für die aktiv ausgenutzte Zero-Day-Lücke steckt in Version 140.0.7339.185/.186 (Windows/Mac) bzw. 140.0.7339.185 (Linux). Das Update für die drei weiteren Lücken bringt den Browser auf Version 140.0.7339.207/.208.
So geht’s: Chrome-Menü öffnen (drei Punkte oben rechts) → „Hilfe“ → „Über Google Chrome“. Der Browser sucht automatisch nach Updates. Nach dem Download erscheint ein „Neu starten“-Button zum Abschluss der Installation.
Anzeige: Apropos Sicherheit: Wer Chrome auch am Android‑Smartphone nutzt, sollte mobile Angriffe nicht unterschätzen – dort liegen oft WhatsApp, Online‑Banking und PayPal-Daten. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen für Android mit einfachen Schritt‑für‑Schritt-Anleitungen – ganz ohne teure Zusatz‑Apps. Jetzt das kostenlose Android‑Sicherheitspaket herunterladen
Auch Nutzer anderer Chromium-Browser wie Microsoft Edge, Brave, Opera und Vivaldi sollten verfügbare Sicherheitsupdates installieren – sie könnten von denselben Schwachstellen betroffen sein.
