Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

Notfall-Update für kritische Zero-Day-Lücke in Google Chrome : Kritisches Chrome-Update schließt aktiv ausgenutzte V8-Sicherheitslücke

Google warnt vor Angriffen auf eine neu entdeckte Sicherheitslücke in Chrome. Die Schwachstelle betrifft die JavaScript-Engine V8 – und wird bereits aktiv ausgenutzt. Ein außerplanmäßiges Update soll jetzt Schlimmeres verhindern.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 3 Min.

Die digitale Bedrohungslage macht keine Pause – und Browser wie Google Chrome stehen besonders häufig im Fadenkreuz von Angreifern. Jetzt hat Google ein außerplanmäßiges Sicherheitsupdate für Chrome veröffentlicht, um eine kritische Zero-Day-Schwachstelle zu schließen, die bereits aktiv ausgenutzt wird. Die Lücke trägt die Bezeichnung CVE-2025-5419, weist einen CVSS-Schweregrad von 8,8 auf und betrifft direkt die JavaScript-Engine V8, das Herzstück der Browserausführung.

Was die Schwachstelle bedeutet

Die Schwachstelle CVE-2025-5419 ermöglicht einem Angreifer das Lesen und Schreiben außerhalb zugewiesener Speicherbereiche (Out-of-Bounds Read/Write). Ausgenutzt wird dabei eine fehlerhafte Speicherverarbeitung in der V8-Engine, die für die Ausführung von JavaScript und WebAssembly zuständig ist.

Konkret bedeutet das: Ein präpariertes HTML-Dokument reicht aus, um über einen Chrome-Browser, der noch nicht aktualisiert wurde, einen Speicherfehler zu provozieren – mit dem Ziel, den Speicher gezielt zu manipulieren. In der Praxis kann das zu Heap-Korruption, Instabilität, Datenverlust oder dem Ausführen von Schadcode führen. Heap-Korruption (englisch: heap corruption) ist die technische Beschreibung für den zuvor erwähnten Fehler im dynamischen Speicherbereich eines Programms – dem sogenannten Heap –, bei dem Daten versehentlich oder absichtlich überschrieben oder verändert werden, sodass der Speicherzustand inkonsistent oder beschädigt ist.

Angreifer sind bereits aktiv – Google warnt eindringlich

Google bestätigte am 27. Mai 2025, dass aktive Exploits im Umlauf sind, die gezielt CVE-2025-5419 ausnutzen. Die Schwachstelle wurde von Clement Lecigne und Benoît Sevens aus der internen Threat Analysis Group (TAG) entdeckt. Bereits am Folgetag – dem 28. Mai – reagierte Google mit einem sofortigen Konfigurations-Update für die stabile Version von Chrome über alle Plattformen hinweg.

Aus Sicherheitsgründen hält sich Google mit technischen Details zur Angriffsmethode und zu möglichen Angreifern bedeckt. Diese Zurückhaltung ist üblich, um Nachahmungstäter zu verhindern und den Nutzern Zeit für ein Update zu verschaffen.

Welche Systeme sind betroffen?

Die Sicherheitslücke betrifft Chrome-Versionen vor 137.0.7151.68. Google hat die Version 137.0.7151.68 für Linux sowie 137.0.7151.68/.69 für Windows und macOS veröffentlicht. Diese Versionen enthalten den notwendigen Fix.

Wichtig: Auch andere Chromium-basierte Browser wie Microsoft Edge, Brave, Opera oder Vivaldi sind potenziell betroffen, da sie dieselbe V8-Engine nutzen. Nutzerinnen und Nutzer dieser Browser sollten dringend prüfen, ob bereits Sicherheitsupdates verfügbar sind – und diese sofort installieren.

Was bedeutet „Zero-Day“ und warum ist das so gefährlich?

Als Zero-Day wird eine Sicherheitslücke bezeichnet, die entdeckt wurde, bevor ein Fix bereitsteht – und im schlimmsten Fall bereits aktiv ausgenutzt wird, bevor der Hersteller reagieren kann. Solche Lücken gelten als besonders kritisch, da sie den Angreifern einen Vorsprung verschaffen. Im Fall von CVE-2025-5419 wurde zwar schnell ein Patch ausgeliefert, doch jeder Tag ohne Update birgt ein erhebliches Risiko.

Es handelt sich bereits um die zweite aktiv ausgenutzte Zero-Day-Lücke in Chrome im Jahr 2025. Zuvor war im März die Schwachstelle CVE-2025-2783 in gezielten Angriffen gegen Organisationen in Russland missbraucht worden.

Wie sich Nutzer jetzt schützen sollten

  • Chrome-Browser sofort aktualisieren: Unter „Hilfe > Über Google Chrome“ wird angezeigt, ob ein Update verfügbar ist.
  • Andere Chromium-basierte Browser prüfen: Updates für Edge, Brave oder Vivaldi schnellstmöglich einspielen.
  • Keine unbekannten Webseiten besuchen, besonders nicht aus dubiosen Quellen oder Links in E-Mails.
  • Regelmäßige Sicherheitsupdates aktivieren, um in Zukunft automatisch geschützt zu sein.

Sicherheit hat Vorrang – Patch jetzt installieren

Die Entdeckung und sofortige Behebung von CVE-2025-5419 zeigt, wie wichtig schnelles Handeln in der Cybersicherheit ist. Doch es liegt auch in der Verantwortung der Nutzerinnen und Nutzer, Updates nicht aufzuschieben. Ein ungepatchter Browser ist ein offenes Einfallstor – und Angreifer warten nicht. Wer jetzt handelt, schützt nicht nur seine Daten, sondern auch sein gesamtes digitales Umfeld.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.