Google hat in der Nacht zum Mittwoch eine Aktualisierung für den Webbrowser Chrome veröffentlicht. Sie stopft ein Zero-Day-Sicherheitsleck, das Angreifer bereits in freier Wildbahn missbrauchen. Wer Chrome einsetzt, sollte zügig prüfen, ob bereits die fehlerkorrigierte Fassung installiert und aktiv ist.
In der Versionsankündigung schreiben Googles Entwickler, dass unter nicht genannten Umständen in der Mojo-Komponente von Chrome unter Windows ein inkorrekter Handle vergeben wird (CVE-2025-2783, kein CVSS, Risiko laut Google "hoch"). Ein Handle liefert Zugriff auf Ressourcen, in diesem Fall jedoch auf die falschen, was sich von Angreifern missbrauchen lässt – und das machen sie bereits, was Google in der Versionsankündigung auch erwähnt: "Google hat Kenntnis von Berichten, dass ein Exploit für CVE-2025-2783 im Netz existiert".
Die attackierte Zero-Day-Lücke haben IT-Forscher von Kaspersky entdeckt. Sie beschreiben in einem Blog-Beitrag die beobachteten Angriffe der "Operation ForumTroll"-APT. Demnach beginnt der Angriff mit einer Phishing-Mail, die vorgeblich zu einem Event des internationalen Wirtschafts- und Politikwissenschaftsforum einlädt und zu einem Programm sowie Anmeldeformular führt. Beide Links führen im Webbrowser Chrome unter Windows jedoch zu einer Malware-Infektion, ohne weitere Interaktion der Opfer.
Details zur Schwachstelle will auch Kaspersky noch nicht erläutern, aber beschreibt den Fehler als Logikfehler zwischen Chrome und Windows-Betriebssystem, der erlaubt, den Sandbox-Schutz von Chrome zu umgehen. Die beobachteten Angriffe richteten sich insbesondere gegen russische Medienrepräsentanten, Angestellte von Bildungseinrichtungen und Regierungsorganisationen. Kaspersky geht davon aus, dass die Angreifer die Opfer ausspionieren wollen. Die Links aus den Phishing-Mails sind derzeit nicht mehr aktiv, Angreifer können den Exploit jedoch jederzeit anderweitig anwenden.
Die aktuellen fehlerkorrigierten Versionen lauten Chrome 134.0.6998.177/.178 für Windows. Die extended-Stable-Version ist mit Stand 134.0.6998.178 unter Windows auf dem fehlerkorrigierten Stand.
Ob Chrome bereits aktuell ist, verrät der Versionsdialog. Der öffnet sich nach Klick auf das Browser-Menü, das sich hinter den drei aufeinander gestapelten Punkten rechts von der Adressleiste befindet. Dort geht es weiter über "Hilfe" zu "Über Google Chrome". Wenn das Update noch nicht installiert wurde, bietet der Dialog die Aktualisierung und anschließend den zum Aktivieren der neuen Software nötigen Browser-Neustart an.
Der Versionsdialog von Chrome zeigt den aktiven Softwarestand an und startet gegebenenfalls den Update-Prozess.
(Bild: Screenshot / dmk)
Unter Linux nimmt üblicherweise die Softwareverwaltung der eingesetzten Distribution das Update vor – da die Lücke jedoch unter Windows auftritt, ist ein Update hier nicht drängend. Andere Chromium-basierte Webbrowser wie Microsoft Edge dürften in Kürze ebenfalls ein Update bereitstellen, das Nutzerinnen und Nutzer ebenfalls zeitnah anwenden sollten.
Vor genau einer Woche hatte Google bereits ein wichtiges Update für den Chrome-Browser veröffentlicht. Es hat eine als kritisches Risiko eingestufte Sicherheitslücke gestopft.
(
Kommentare