Chrome erneut betroffen: Google behebt vierten Zero-Day-Exploit im Jahr 2025

Google hat am Montag ein Notfall-Sicherheitsupdate für Chrome veröffentlicht, um eine aktiv ausgenutzte Zero-Day-Sicherheitsanfälligkeit zu beheben, die Windows- und Mac-Nutzer weltweit betroffen hat. Dies ist der vierte behobene Zero-Day-Exploit in Chrome seit Anfang 2025.

Die Zero-Day-Sicherheitsanfälligkeit, die als CVE-2025-6554 verfolgt wird, wurde als schwerwiegender „Typverwirrung“-Fehler in Chome’s V8 JavaScript- und WebAssembly-Engine beschrieben.

Clement Lecigne, ein Sicherheitsforscher aus Googles Threat Analysis Group (TAG), der die Zero-Day-Sicherheitsanfälligkeit am 25. Juni 2025 gemeldet hat, wird für die Entdeckung und Meldung verantwortlich gemacht. TAG ist bekannt dafür, komplexe Angriffe zu entdecken, die mit staatlichen Akteuren in Verbindung stehen.

Was ist die Sicherheitsanfälligkeit?

Typverwirrungsfehler in V8, Chome’s JavaScript-Engine, treten auf, wenn der Browser über den Typ der Daten, die er verarbeitet, verwirrt ist. Dies kann dazu führen, dass Chrome den Speicher falsch interpretiert, was die Tür zu beliebigem Lesen/Schreiben öffnet und in einigen Fällen sogar zu vollständiger Remote-Code-Ausführung (RCE) führt.

Dieser Fehler kann es Hackern ermöglichen, auf Teile des Speichers zuzugreifen, auf die sie nicht zugreifen sollten, was ihnen möglicherweise erlaubt, schädlichen Code auszuführen oder den Browser zum Absturz zu bringen.

„Google ist sich bewusst, dass ein Exploit für CVE-2025-6554 in der Wildnis existiert“, sagte der Technologieriese in einem am Montag veröffentlichten Sicherheitsbericht.

Laut der National Vulnerability Database (NVD) betrifft dieser Fehler Chrome-Versionen vor 138.0.7204.96 und könnte Angreifern ermöglichen, schädlichen Code auszuführen oder die Anwendung zum Absturz zu bringen.

Minderungsmaßnahmen

Google hat am 26. Juni 2025 eine vorübergehende Minderung auf der Serverseite über Chome’s stabilen Kanal bereitgestellt, um die Zero-Day-Sicherheitsanfälligkeit zu beheben. Das Unternehmen hat ein vollständiges Update für Chrome-Nutzer im Stable Desktop-Kanal bereitgestellt: Windows (138.0.7204.96/.97), Mac (138.0.7204.92/.93) und Linux-Nutzer (138.0.7204.96).

„Der Zugang zu Fehlerdetails und Links kann eingeschränkt bleiben, bis die Mehrheit der Nutzer mit einem Fix aktualisiert wurde. Wir werden auch Einschränkungen beibehalten, wenn der Fehler in einer Drittanbieterbibliothek existiert, auf die andere Projekte ähnlich angewiesen sind, aber noch nicht behoben wurden“, sagte Google.

Google hat noch keine Details über die Ausnutzung oder die Bedrohungsakteure hinter den Angriffen veröffentlicht. Da der Fehler aktiv in der Wildnis ausgenutzt wird, wird dringend empfohlen, dass Nutzer das Sicherheitsupdate so schnell wie möglich anwenden, um ihre Geräte und sich selbst vor erheblichen Sicherheitsrisiken zu schützen.

Während Chome’s automatisches Update schließlich den Fix installieren wird, können Sie Chrome auch manuell aktualisieren, indem Sie zu Einstellungen > Hilfe > Über Google Chrome gehen.

Warum ist dies der vierte?

** Die zuvor behobenen Zero-Days in Chrome im Jahr 2025 umfassen CVE20252783 (März): Falscher Handle in unbestimmten Umständen in Mojo auf Windows bereitgestellt; CVE20254664 (Mai): Unzureichende Durchsetzung von Richtlinien im Loader; und CVE20255419 (Juni): Aus dem Rahmen lesen und schreiben in V8.

Mit CVE20256554, das jetzt behoben ist, markiert dies den vierten aktiven Zero-Day-Exploit, der in nur sieben Monaten behandelt wurde.