Google warnt vor kritischer Lücke im Grafik-Stack des Chrome-Browsers : Nicht offengelegte, bereits aktiv ausgenutzte Schwachstelle mit hohem Schweregrad erzwingt schnelle Updates

Google hat neue Sicherheitsupdates für den Chrome-Browser veröffentlicht und drei Schwachstellen behoben. Besonders brisant: Eine der Lücken wird laut Google bereits aktiv angegriffen. Die nicht öffentlich dokumentierte Schwachstelle trägt im internen Chromium-Tracker die Kennung 466192044 und gilt als hochgradig kritisch. Anders als üblich verzichtet Google auf eine sofortige Offenlegung der zugehörigen CVE-Nummer, der betroffenen Komponente und der Verwundbarkeitsklasse – eine Maßnahme, die üblicherweise getroffen wird, wenn ein aktiver Exploit im Umlauf ist.

Hinweise auf Pufferüberlauf im ANGLE-Grafikmodul

Ein GitHub-Commit im öffentlichen Chromium-Repository liefert dennoch erste technische Spuren. Demnach liegt das Problem im Grafik-Framework Almost Native Graphics Layer Engine (ANGLE), das Chrome für plattformübergreifende Rendering-Aufgaben verwendet. Der betroffene Codeabschnitt weist darauf hin, dass eine fehlerhafte Berechnung der Puffergröße im Metal-Renderer vorliegt. Wird der Puffer zu klein angelegt, kann dies zu Speicherfehlern, Abstürzen oder potenziell sogar zur Ausführung von Schadcode führen – klassische Merkmale eines Pufferüberlaufs.

Google bestätigt, dass ein funktionierender Exploit bereits im Umlauf ist. Zu Angreifern, Zielen oder Ausmaß der Attacken gibt das Unternehmen keine Auskunft. Dieser Ansatz folgt einem vertrauten Muster: Details werden zurückgehalten, bis ein ausreichender Teil der Nutzer geschützt ist und das Risiko einer schnellen Reverse-Engineering-Welle sinkt.

 Acht Zero-Day-Lücken seit Jahresbeginn

Mit dem aktuellen Update steigt die Zahl der in diesem Jahr behobenen Zero-Day-Schwachstellen auf acht. Dazu gehören:

• CVE-2025-2783
• CVE-2025-4664
• CVE-2025-5419
• CVE-2025-6554
• CVE-2025-6558
• CVE-2025-10585
• CVE-2025-13223

Google behebt außerdem zwei weitere Schwachstellen mittlerer Schwere:

• CVE-2025-14372 – Use-after-free im Passwortmanager
• CVE-2025-14373 – fehlerhafte Implementierung in der Symbolleiste

Update-Empfehlung für alle Chromium-Browser

Nutzer sollten Chrome zeitnah auf folgende Versionen aktualisieren:

• 143.0.7499.109 oder 143.0.7499.110 für Windows und Apple macOS
• 143.0.7499.109 für Linux

Das Update lässt sich über die Navigation Mehr, Hilfe und Über Google Chrome anstoßen, anschließend muss der Browser neu gestartet werden.

Da viele Browser auf Chromium basieren, gilt die Warnung auch für Produkte wie Microsoft Edge, Brave, Opera und Vivaldi. Hier sollten Nutzer die entsprechenden Updates installieren, sobald sie bereitgestellt werden.

Der Fall zeigt erneut, wie attraktiv tief integrierte Grafikbibliotheken als Angriffspunkt sein können – und wie wichtig es ist, Sicherheitsupdates ohne Verzögerung einzuspielen.