Der Webbrowser Chrome ist in aktualisierter Version erschienen – und schließt damit eine als kritisch einsortierte Sicherheitslücke. Chrome-Nutzerinnen und -Nutzer sollten sicherstellen, dass die aktuelle Fassung bei ihnen läuft.
In einer Versionsankündigung umreißen Googles Entwickler die Schwachstellen sehr knapp, die die neue Fassung schließt. "Heap-basiertert Pufferübelauf in Codecs", deuten sie dort an, mit dem CVE-Eintrag CVE-2025-3619 und der Einstufung des Risiko als "kritisch". Ein konkreter CVSS-Wert fehlt, wie es bei Googles Chrome-Schwachstellenmeldungen üblich ist. Es gibt keine weiteren Details, aber es lässt sich herleiten, dass bereits das Verarbeiten manipulierter Multimediadateien wie Videos zur Kompromittierung des Geräts führen kann.
Bei der zweiten Lücke handelt es sich um eine Use-after-free-Schwachstelle im USB-Code von Chrome. Dabei greift der Programmcode fälschlicherweise auf Ressourcen zu, die zuvor bereits freigegeben wurden und deren Inhalt daher undefiniert ist. Oftmals kann das zum Einschleusen und Ausführen von Schadcode missbraucht werden – offenbar auch in diesem Fall, was die Risikoeinstufung als "hoch" für den CVE-Eintrag CVE-2025-3620 impliziert.
Die Browser-Versionen 135.0.7049.95/.96 für macOS und Windows, 135.0.7049.95 für Linux, 135.0.7049.100 für Android sowie die Extended-Stable-Fassung 134.0.6998.205 für macOS und Windows stellen den derzeit aktuellen Stand dar. Sie enthalten die Sicherheitslücken nicht mehr.
Der Klick auf das Icon mit den drei übereinandergestapelten Punkten rechts von der Adressleiste des Browsers öffnet das Chrome-Menü, Unter "Hilfe" – "Über Google Chrome" gelangt man zum Versionsdialog. Der zeigt die aktuell laufende Softwarefassung an. Sind Updates verfügbar, lädt der Dialog sie gleich herunter und installiert sie, um im Anschluss zum Browser-Neustart zur Aktivierung der fehlerkorrigierten Software aufzufordern. Unter Linux zeichnet in der Regel die Softwareverwaltung der eingesetzten Distribution für das Update verantwortlich.
Die Schwachstellen dürften auch andere Chromium-basierte Webbrowser wie Microsoft Edge betreffen, hierfür sind ebenfalls in Kürze Software-Updates zu erwarten. Auch die sollten Nutzerinnen und Nutzer zügig anwenden.
Schwachstellen in populären Webbrowsern sind bevorzugtes Ziel von Cyberkriminellen, so auch vor etwa drei Wochen, als Kriminelle eine Chrome-Sicherheitslücke in freier Wildbahn angegriffen haben. Das Update sollte daher nicht auf die lange Bank geschoben werden.
(
Kommentare