Erneut muss Google Sicherheitslücken im Webbrowser Chrome abdichten, von denen eine in freier Wildbahn bereits von Angreifern missbraucht wird. Wer Chrome nutzt, sollte sicherstellen, dass der Browser in aktueller Version läuft.
In der Versionsankündigung schreibt Google, dass das Update insgesamt sechs Schwachstellen ausbessert. Lediglich zu dreien davon gibt Google Hinweise auf deren Natur, die wurden offenbar von externen IT-Sicherheitsforschern gemeldet. Die Entwickler stufen alle drei als hohes Risiko ein. "Google ist bekannt, dass ein Exploit für CVE-2025-6558 in freier Wildbahn existiert", schreiben die Entwickler dort förmlich. Zuletzt hatte Google vor rund zwei Wochen eine bereits von bösartigen Akteuren missbrauchte Schwachstelle im Chrome-Browser stopfen müssen.
"Inkorrekte Prüfung von nicht vertrauenswürdigen Eingaben in ANGLE und GPU" beschreibt Google die angegriffene Sicherheitslücke knapp (CVE-2025-6558 / EUVD-2025-21546, CVSS 8.8, Risiko "hoch"). Hinter ANGLE verbirgt sich die von Google entwickelte "Almost Native Graphics Layer Engine", die standardmäßig als WebGL-Backend in Chrome (und in Firefox) zum Einsatz kommt und Grafik-Funktionsaufrufe etwa in DirectX, OpenGL oder ähnliche Abstraktionsschichten übersetzt. GPU ist hingegen der beschleunigte Compositor im Browser.
Zudem können Angreifer einen Integer-Überlauf in der Javascript-Engine V8 missbrauchen (CVE-2025-7656 / EUVD-2025-21547, CVSS 8.8, Risiko "hoch") sowie eine Use-after-free-Lücke in WebRTC (CVE-2025-7657 / EUVD-2025-21545, CVSS 8.8, Risiko "hoch"). Details nennt Google nicht, aber in der Regel können Angreifer derart eingestufte Sicherheitslücken etwa mit manipulierten Webseiten angreifen und dabei eingeschleusten Schadcode ausführen.
Die fehlerbereinigten Browser-Versionen sind Chrome 138.0.7204.157 für Android, 138.0.7204.156 für iOS, 138.0.7204.157 für Linux und 38.0.7204.157/.158 für macOS und Windows.
Der Versionsdialog vom Webbrowser verrät, welcher Softwarestand derzeit aktiv ist. Er lässt sich über das Browser-Menü erreichen, das sich hinter dem Symbol mit drei aufeinandergestapelten Punkten rechts von der Adressleiste befindet. Dort geht es weiter über "Hilfe" – "Über Google Chrome".
Der Versionsdialog von Chrome zeigt den aktuell laufenden Softwarestand und bietet gegebenenfalls die Aktualisierung und den nötigen Browser-Neustart an.
(Bild: heise medien)
Unter Linux müssen Nutzerinnen und Nutzer dafür in der Regel die Softwareverwaltung der eingesetzten Distribution starten. Auf Smartphones kommen die Aktualisierungen in die jeweiligen App-Stores, teils jedoch mit Verzögerung.
Da auch andere Webbrowser auf dem Chromium-Code basieren, dürften auch die verwundbar sein. Deren Hersteller dürften in Kürze ebenfalls Aktualisierungen zum Stopfen des Sicherheitslecks verteilen, etwa Microsoft für den Edge-Webbrowser.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare