Neues aus der IT-Welt

Erneut muß Google Sicherheitslücken im Webbrowser Chrome abdichten, von denen eine in freier Wildbahn bereits von Angreifern mißbraucht wird. Wer Chrome nutzt, sollte sicherstellen, daß der Browser in aktueller Version läuft.

In der Versionsankündigung schreibt Google, daß das Update insgesamt sechs Schwachstellen ausbessert. Lediglich zu dreien davon gibt Google Hinweise auf deren Natur, die wurden offenbar von externen IT-Sicherheitsforschern gemeldet. Die Entwickler stufen alle drei als hohes Risiko ein. "Google ist bekannt, daß ein Exploit für CVE-2025-6558 in freier Wildbahn existiert", schreiben die Entwickler dort förmlich. Zuletzt hatte Google vor rund zwei Wochen eine bereits von bösartigen Akteuren mißbrauchte Schwachstelle im Chrome-Browser stopfen müssen.

"Inkorrekte Prüfung von nicht vertrauenswürdigen Eingaben in ANGLE und GPU" beschreibt Google die angegriffene Sicherheitslücke knapp (CVE-2025-6558 / EUVD-2025-21546, CVSS 8.8, Risiko "hoch"). Hinter ANGLE verbirgt sich die von Google entwickelte "Almost Native Graphics Layer Engine", die standardmäßig als WebGL-Backend in Chrome (und in Firefox) zum Einsatz kommt und Grafik-Funktionsaufrufe etwa in DirectX, OpenGL oder ähnliche Abstraktionsschichten übersetzt. GPU ist hingegen der beschleunigte Compositor im Browser.

Zudem können Angreifer einen Integer-Überlauf in der Javascript-Engine V8 mißbrauchen (CVE-2025-7656 / EUVD-2025-21547, CVSS 8.8, Risiko "hoch") sowie eine Use-after-free-Lücke in WebRTC (CVE-2025-7657 / EUVD-2025-21545, CVSS 8.8, Risiko "hoch"). Details nennt Google nicht, aber in der Regel können Angreifer derart eingestufte Sicherheitslücken etwa mit manipulierten Webseiten angreifen und dabei eingeschleusten Schadcode ausführen.

Die fehlerbereinigten Browser-Versionen sind Chrome 138.0.7204.157 für Android, 138.0.7204.156 für iOS, 138.0.7204.157 für Linux und 138.0.7204.157/.158 für macOS und Windows.

Der Versionsdialog vom Webbrowser verrät, welcher Softwarestand derzeit aktiv ist. Er läßt sich über das Browser-Menü erreichen, das sich hinter dem Symbol mit drei aufeinandergestapelten Punkten rechts von der Adreßleiste befindet. Dort geht es weiter über "Hilfe" – "Über Google Chrome".

Unter Linux müssen Nutzerinnen und Nutzer dafür in der Regel die Softwareverwaltung der eingesetzten Distribution starten. Auf Smartphones kommen die Aktualisierungen in die jeweiligen App-Stores, teils jedoch mit Verzögerung.

Da auch andere Webbrowser auf dem Chromium-Code basieren, dürften auch die verwundbar sein. Deren Hersteller dürften in Kürze ebenfalls Aktualisierungen zum Stopfen des Sicherheitslecks verteilen, etwa Microsoft für den Edge-Webbrowser.