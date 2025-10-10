Google Chrome ist nach wie vor der weltweit beliebteste Browser. Daher ist es nicht verwunderlich, dass Angreifer immer wieder neue Wege finden, um die Plattform zu kompromittieren und Nutzer/innen ins Visier zu nehmen. Aber nicht nur Bedrohungen von außen, sondern auch Schwachstellen in Chrome selbst können Nutzer/innen gefährden, wie das letzte Oktober-Update zeigt.

In einer Pressemitteilung kündigte Google den Rollout der Chrome-Version 141.0.7390.65/.66 für Windows und macOS sowie 141.0.7390.65 für Linux an. Das Update behebt mehrere Fehler und Leistungsprobleme, aber vor allem behebt es drei Sicherheitslücken im Zusammenhang mit der Speicherverwaltung von Chrome, von denen zwei als hochriskant eingestuft werden.

Gefährliche Schwachstellen in Chrome

Die gefährlichste Schwachstelle ist CVE-2025-11458, eine Heap-basierte Pufferüberlaufschwachstelle in der Sync-Komponente von Chrome. Dieser Fehler, der den Speicher beschädigt, ermöglicht es Angreifern, den Browser zum Absturz zu bringen oder beliebigen Code auszuführen und so möglicherweise Spyware zu installieren, Zugangsdaten zu stehlen oder die Kontrolle über das Browserverhalten zu erlangen.

In einem Szenario besucht ein Nutzer eine kompromittierte Website, die unbemerkt überlastete Synchronisationsdaten an Chrome sendet. Während der Nutzer nichts davon mitbekommt, können Angreifer bösartige Aktionen ausführen, ohne dass dafür erhöhte Rechte erforderlich sind.

Google hat den Sicherheitsforscher Raven von Kunlun Lab für die Meldung des Problems belohnt und im Rahmen seines Vulnerability Reward Program ein Kopfgeld von 5.000 US-Dollar ausgesetzt.

Hoch CVE-2025-11458: Heap-Pufferüberlauf in Sync. Gemeldet von raven bei KunLun lab am 2025-09-05 Hoch CVE-2025-11460: Verwendung nach Free in Storage. Berichtet von Sombra am 2025-09-23 Mittel CVE-2025-11211: Out of Bounds Read in WebCodecs. Gemeldet von Jakob Košir am 2025-08-29

Die zweite schwerwiegende Schwachstelle, CVE-2025-11460, betrifft die Speicherkomponente von Chrome über eine Use-after-free-Schwachstelle. Böswillige Skripte, die in Webseiten eingebettet sind, können den Speicher beschädigen und den Browser zum Absturz bringen, ohne dass der Benutzer eingreifen muss, sobald die Seite geladen ist.

Bei der dritten Schwachstelle, CVE-2025-11211, handelt es sich um eine Sicherheitslücke mit mittlerem Risiko in der WebCodecs API von Chrome. Angreifer können diese Schwachstelle ausnutzen, indem sie bösartige Videodaten in Websites einschleusen, sodass die Dekodierungs-Engine von Chrome sensible Informationen auslesen kann, oder indem sie weitere Schwachstellen einrichten.

Trotz des geringeren Schweregrads des letzten Fehlers haben alle drei Schwachstellen eine gefährliche Eigenschaft gemeinsam: Sie erfordern keine Benutzerinteraktion oder eine Ausweitung der Berechtigungen, was sie zu erstklassigen Zielen für Drive-by-Angriffe und bösartige Werbung macht.

Schritte zum Schutz deiner Daten

Nutzer/innen wird dringend empfohlen, Chrome zu aktualisieren, sobald die neue Version verfügbar ist. Auch nach der Installation des Patches ist es wichtig, wachsam zu bleiben, vor allem wenn es darum geht, verdächtige Websites zu erkennen, dubiose Erweiterungen zu vermeiden und sich von ungeprüften Downloads fernzuhalten. Je weniger Interaktion Angreifer brauchen, desto proaktiver müssen wir sein.