Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Sicherheitslücke in V8: Hacker attackieren Chrome-Nutzer über Javascript-Engine

Zur Ausnutzung der Chrome -Lücke reicht der bloße Aufruf einer bösartigen Webseite . Angreifer können daraufhin Schadcode zur Ausführung bringen.
/ Marc Stöckel
4 Kommentare News folgen (öffnet im neuen Fenster)
Anwender sollten ihre Chrome-Browser dringend updaten. (Bild: Brandon Bell/Getty Images)
Anwender sollten ihre Chrome-Browser dringend updaten. Bild: Brandon Bell/Getty Images

Google hat ein Notfallupdate für den weit verbreiteten Webbrowser Chrome veröffentlicht(öffnet im neuen Fenster) . Damit schließt der Konzern zwei gefährliche Sicherheitslücken, von denen mindestens eine schon aktiv ausgenutzt wird. Anwender sollten ihre Chrome-Browser möglichst zeitnah auf die neueste Version aktualisieren. Auch andere Chromium-basierte Browser dürften betroffen sein.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
Informationssicherheitsmanager:in (d/m/w) Hochschule Bonn-Rhein-Sieg, Sankt Augustin (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) Faßbender Tenten GmbH & Co. KG, Alfter (öffnet im neuen Fenster)
Abteilungsleiter (m/w/d) IT Business Application (SAP) Mehler Engineered Defence GmbH, Fulda (öffnet im neuen Fenster)
KI & Cloud Expert*in VDI GmbH, Düsseldorf (öffnet im neuen Fenster)
Softwarebetreuer (m/w/d) in Vollzeit Pferdesporthaus Loesdau GmbH & Co KG, Bisingen (öffnet im neuen Fenster)
IT-Expert:in Linux (m/w/d) Universität Hohenheim Zentrale Verwaltung, Stuttgart (öffnet im neuen Fenster)
Agile Coach (m/w/d) in Vollzeit Katholisches Klinikum Koblenz - Montabaur, Koblenz (öffnet im neuen Fenster)

Bei der aktiv ausgenutzten Sicherheitslücke handelt es sich um CVE-2025-13223(öffnet im neuen Fenster) , die zweite Lücke ist als CVE-2025-13224(öffnet im neuen Fenster) registriert. Beide Schwachstellen beziehen sich auf Googles Javascript-Engine V8 und weisen ähnliche Eigenschaften auf. Auch der CVSS-Wert ist mit 8,8 identisch und entspricht einem hohen Schweregrad.

Aufruf einer Webseite reicht

Den Schwachstellenbeschreibungen zufolge basieren beide Sicherheitslücken auf einer sogenannten Type Confusion ( CWE-843(öffnet im neuen Fenster) ). Diese tritt auf, wenn es eine Abweichung zwischen dem Datentyp gibt, der einem Zeiger, einem Objekt oder einer Variablen bei der Initialisierung zugewiesen wurde, und jenem Typ, über den später der tatsächliche Zugriff erfolgt.

Mögliche Folgen einer Type Confusion sind Zugriffe außerhalb vorgegebener Grenzwerte. Häufig resultiert daraus ein Absturz der jeweiligen Anwendung. Manchmal kann ein Angreifer derartige Lücken aber auch ausnutzen, um eigenen Code zur Ausführung zu bringen. Bei den beiden V8-Lücken soll das über eine speziell gestaltete Webseite möglich sein, die das Angriffsopfer lediglich aufrufen muss.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Patches stehen bereit

Mit technischen Details zu den beiden Sicherheitslücken hält sich Google wie gewohnt zurück, um Anwendern ausreichend Zeit zum Einspielen der Patches einzuräumen. CVE-2025-13223 wurde den Angaben zufolge von einem Forscher aus Googles hauseigener Threat Analysis Group (TAG) entdeckt, CVE-2025-13224 hingegen von Googles KI-Schwachstellenfinder Big Sleep .

Wer sich vor möglichen Angriffen schützen will, sollte Chrome zügig aktualisieren. Als gepatcht gelten alle Versionen ab 142.0.7444.175/.176 für Windows, 142.0.7444.176 für Mac und 142.0.7444.175 für Linux. Da sich die Lücken auf Chromium beziehen, dürften auch andere darauf basierende Webbrowser wie Microsoft Edge, Vivaldi oder Brave anfällig sein und in den kommenden Tagen entsprechende Updates erhalten.

Zur Startseite 4 Kommentare

Relevante Themen

WebseitenSoftwareSecuritySicherheitslückeUpdates & PatchesGoogleMS EdgeChromeVivaldi