Außerhalb der üblichen Zeitpläne hat Google in der Nacht zum Dienstag den Webbrowser Chrome mit einem Update bedacht. Es schließt eine Sicherheitslücke, die bereits im Internet angegriffen wird.
In der Versionsankündigung schreiben Googles Entwickler, dass die neue Version drei Sicherheitslecks abdichtet. Zu einer Lücke fehlen jedwede Informationen, was darauf hindeutet, dass die Programmierer sie intern entdeckt haben.
In der Javascript-Engine V8 von Google Chrome ermöglicht eine Schwachstelle Angreifern, außerhalb vorgesehener Speichergrenzen zu lesen und zu schreiben. Für diese Schwachstelle ist ein Exploit in freier Wildbahn aufgetaucht, sie wird daher offenbar bereits attackiert. Wie die Schwachstelle aussieht, wie Angreifer sie missbrauchen oder Attacken sich erkennen lassen, erörtert Google jedoch nicht (CVE-2025-5419 / EUVD-2025-16695, CVSS nach EUVD 8.8, Risiko "hoch").
Interessantes Detail: Googles Entwickler wollen das Problem mit einer Konfigurationsänderung entschärft haben, die sie Ende Mai an die Chrome-Browser im Stable-Zweig verteilt haben. Die Aktualisierung jetzt korrigiert das Problem jedoch korrekt und umfassend im Programmcode.
Eine weitere Schwachstelle behandelt das Update ebenfalls, eine "Use-after-free"-Lücke in der Renderengine Blink des Chrome-Browsers (CVE-2025-5068 / EUVD-2025-16694, CVSS nach EUVD 8.8, Risiko laut Google "mittel", laut EUVD "hoch"). Dabei greift Programmcode auf bereits freigegebene Ressourcen zu, deren Inhalt undefiniert ist. Häufig lassen sich derartige Fehler zum Ausführen von eingeschleustem Schadcode missbrauchen.
Chrome-Nutzerinnen und -Nutzer sollten prüfen, ob bereits der aktuelle Stand der Software bei ihnen aktiv ist. Das gelingt durch den Aufruf des Versionsdialogs. Der befindet sich im Einstellungsmenü des Browsers, das sich durch das Klicken auf das Symbol mit den drei übereinandergestapelten Punkten öffnet und den weiteren Weg über "Hilfe" hin zu "Über Google Chrome".
Der Versionsdialog des Webbrowsers zeigt den aktuell laufenden Stand der Software und bietet bei Bedarf die Installation eines Updates an.
(Bild: Screenshot / dmk)
Die fehlerbereinigten Browserversionen lauten Google Chrome 137.0.7151.72 für Android, 137.0.7151.68 für Linux sowie 137.0.7151.68/.69 für macOS und Windows. Unter Linux ist in der Regel der Aufruf der Softwareverwaltung der Distribution zur Aktualisierung nötig. Auf Chromium basierende Webbrowser wie Microsofts Edge dürften in Kürze ebenfalls ein Sicherheitsupdate zum Stopfen der Lecks erhalten – Microsoft verteilt es erfahrungsgemäß am Freitag der Woche.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare