Chrome: Notfall-Update stoppt sechsten Zero-Day des Jahres
Google veröffentlicht Notfall-Update für Chrome, um eine bereits aktiv ausgenutzte Zero-Day-Schwachstelle in der V8-JavaScript-Engine zu patchen. Nutzer sollten umgehend aktualisieren.
Google hat diese Woche ein kritisches Sicherheitsupdate für Chrome veröffentlicht, um eine Zero-Day-Schwachstelle zu schließen, die bereits von Angreifern ausgenutzt wird. Der Fehler CVE-2025-10585 ist bereits die sechste Zero-Day-Lücke in Chrome dieses Jahr – ein beunruhigender Trend für den weltweit beliebtesten Browser.
In einem Sicherheitshinweis bestätigte Google am Mittwoch aktive Angriffe auf die schwerwiegende Schwachstelle. Das Unternehmen rollt weltweit einen Patch aus und fordert alle Nutzer auf, sofort auf die neueste Version zu aktualisieren. Die Versionen 140.0.7339.185/.186 für Windows und Mac sowie 140.0.7339.185 für Linux enthalten den notwendigen Sicherheitsfix.
Obwohl Chrome normalerweise automatisch aktualisiert, sollten Nutzer manuell prüfen: Über „Hilfe“ → „Über Google Chrome“ lässt sich das Update sofort anstoßen.
Gefahr aus dem JavaScript-Herz
Die kritische Schwachstelle steckt in Chromes V8-Engine, die JavaScript und WebAssembly ausführt. Bei CVE-2025-10585 handelt es sich um einen „Type Confusion“-Fehler: Das Programm greift mit falschen Datentypen auf Speicherbereiche zu, was zu unvorhersehbarem Verhalten führt.
Besonders tückisch: Ein Besuch einer präparierten Website reicht bereits aus, um den Angriff zu starten. Weitere Nutzerinteraktion ist nicht nötig. Im schlimmsten Fall können Cyberkriminelle so beliebigen Schadcode auf dem Rechner ausführen.
Googles Threat Analysis Group (TAG) entdeckte die Lücke am 16. September und meldete sie intern weiter. Nur einen Tag später folgte der Patch – eine Reaktionszeit, die die Brisanz der Bedrohung unterstreicht.
Angriffswelle auf Chrome hält an
2025 entwickelt sich zum Problemjahr für Chromes Sicherheit. CVE-2025-10585 ist bereits die sechste Zero-Day-Lücke mit aktiver Ausnutzung. Frühere Schwachstellen ermöglichten Sandbox-Ausbrüche und Kontoübernahmen.
So nutzte CVE-2025-6558 im Juli eine ähnliche Lücke für Sandbox-Flucht. CVE-2025-2783 kam in Spionagekampagnen zum Einsatz. Die Angriffsziele: oft Journalisten, Oppositionspolitiker und Dissidenten durch staatlich geförderte Hackergruppen.
Betroffen: Nicht nur Chrome-Nutzer
Die Schwachstelle betrifft alle Browser auf Chromium-Basis – also auch Microsoft Edge, Brave, Opera und Vivaldi. Nutzer dieser Browser sollten ebenfalls schnellstmöglich Updates einspielen.
Anzeige: Übrigens: Wer sich nicht nur am PC, sondern auch am Smartphone vor Angriffen schützen will, sollte die Basics kennen. Viele Android-Nutzer übersehen 5 einfache, aber wirkungsvolle Sicherheitsmaßnahmen für WhatsApp, Online-Shopping, PayPal und Banking. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Android-Gerät ohne teure Zusatz-Apps absichern. Jetzt das Gratis-Sicherheitspaket für Ihr Android-Smartphone sichern
Die US-Cybersicherheitsbehörde CISA stuft solche aktiv genutzten Lücken regelmäßig als hochkritisch ein. Bundesbehörden müssen dann innerhalb festgelegter Fristen patchen.
Sicherheitsexperten betonen: Automatische Updates aktivieren und Browser nach Aufforderung neu starten. Nur so lassen sich die raffinierten Angriffe auf moderne Browser-Komponenten abwehren.
Wettrüsten ohne Ende
Der sechste Chrome-Zero-Day 2025 verdeutlicht das anhaltende Cybersecurity-Wettrüsten. Je komplexer Browser werden, desto größer wird die Angriffsfläche für Kriminelle.
Googles proaktive Bedrohungsjagd durch das TAG-Team hilft beim Aufspüren der Exploits. Doch die Verantwortung liegt auch bei den Nutzern: Sicherheits-Patches dürfen nicht verschleppt werden.
Die Faustregel lautet: Bei Sicherheitsupdates keine Zeit verlieren. Die Bedrohungslandschaft wird nicht einfacher.
