Zwei schwerwiegende Zero-Day-Sicherheitslücken in Chrome
Google hat gerade ein Notfall-Update für seinen Chrome-Browser veröffentlicht, um zwei schwerwiegende Sicherheitslücken zu beheben, darunter eine Zero-Day-Sicherheitslücke, die aktiv von Hackern ausgenutzt wird.
Cybersicherheitsexperten warnen, dass Milliarden von Benutzern weltweit der Gefahr eines Datenlecks sensibler Daten ausgesetzt sein könnten, darunter Sitzungstoken, Cookies und Anmeldeinformationen.
Zwei kritische Schwachstellen: Ausnutzung in der realen Welt und Datenlecks
Die erste Sicherheitslücke mit der Bezeichnung CVE-2025-5419 besteht in der V8 Engine, dem JavaScript- und WebAssembly-Prozessor von Chrome.
Laut einer offiziellen Ankündigung von Google ermöglicht diese Sicherheitsanfälligkeit Angreifern, Lese- und Schreibvorgänge außerhalb des zugewiesenen Speicherbereichs durchzuführen, wodurch die Möglichkeit einer Remote-Ausführung von Schadcode besteht.
Tatsächlich musste ein Nutzer lediglich eine Website mit dem Exploit-Code aufrufen, damit ein Angreifer die Kontrolle über seinen Browser oder sein Gerät übernehmen konnte. Google bestätigte die Ausnutzung der Sicherheitslücke bereits vor ihrer öffentlichen Bekanntgabe und machte sie damit zu einer der besorgniserregendsten Cybersicherheitsbedrohungen der ersten Jahreshälfte.
Die zweite Sicherheitslücke, CVE-2025-4664 , betrifft die Art und Weise, wie der Browser beim Laden von Unterressourcen mit HTTP-Headern und Referrer-Richtlinien umgeht. Laut den Forschern könnte ein Angreifer diese Schwachstelle ausnutzen, um über die URL vertrauliche Informationen zu sammeln, darunter OAuth-Zugriffstoken, Sitzungs-IDs und Parameter mit privaten Daten.
Gefährlicher ist, dass dieser Angriffsmechanismus unbemerkt ablaufen kann, ohne dass der Benutzer etwas anderes tun muss, als eine infizierte Website zu besuchen.
Globale Warnung und Reaktion von Google
Googles Reaktion nach dem Vorfall
Kurz nachdem die Schwachstellen entdeckt wurden, veröffentlichte Google entsprechende Sicherheitsupdates: Versionen 137.0.7151.68/.69 für Windows, Linux und macOS zum Patchen von CVE-2025-5419 und Versionen 136.0.7103.113/.114 zum Beheben von CVE-2025-4664.
Cybersicherheitsbehörden wie die US-amerikanische CISA und das indische CERT-In haben gleichzeitig dringende Warnungen herausgegeben und Benutzer und Organisationen aufgefordert, ihren Chrome-Browser umgehend zu aktualisieren, um nicht Opfer der anhaltenden Angriffe zu werden.
Risiken für Privat- und Geschäftsbenutzer
Sicherheitsexperten sagen, dass beide Schwachstellen ausgenutzt werden können, um persönliche Informationen zu stehlen, die Kontrolle über Browser zu übernehmen und sogar den Weg für Angriffe größeren Ausmaßes zu ebnen, wie etwa die Installation von Malware, Spionage oder die Verschlüsselung von Daten zur Erpressung von Lösegeld.
Da die Zeit, die zum Ausnutzen einer Sicherheitslücke benötigt wird, nach der Veröffentlichung der Informationen von Tagen auf nur wenige Stunden verkürzt wird, sind zeitnahe Software-Updates von entscheidender Bedeutung.
Obwohl die Schwachstelle fast unmittelbar nach ihrer Entdeckung ausgenutzt wird , können Angreifer innerhalb weniger Stunden Schadcode starten und so einen enormen Druck auf Systeme ausüben, die keine Zeit für eine Aktualisierung hatten.
So verhindern und schützen Sie Daten
Milliarden von Chrome-Benutzern müssen jetzt aktualisieren
Für Einzelnutzer empfiehlt es sich, den Abschnitt „Über Google Chrome“ in der Hilfe zu besuchen, um die Version zu überprüfen und den Browser umgehend zu aktualisieren (Menü > Hilfe > Über Google Chrome). Starten Sie den Browser nach der Aktualisierung neu, um sicherzustellen, dass der Patch angewendet wird.
Gleichzeitig sollten Benutzer es vermeiden, auf verdächtige Links zu klicken, insbesondere aus E-Mails, sozialen Netzwerken oder nicht vertrauenswürdigen Websites.
Zur Risikominderung wird außerdem die Verwendung von Sicherheitssoftware, URL-Filtern oder Safe-Browsing-Erweiterungen empfohlen.
Für Unternehmen und Organisationen, die Chrome auf allen Geräten in ihrem Netzwerk automatisch aktualisieren, den Netzwerkverkehr auf Anomalien überwachen und Mitarbeiter intern auf potenzielle Datenschutzverletzungen aufmerksam machen müssen.
Automatisierte Sicherheitsüberwachungstools wie Wazuh oder Sandbox-Lösungen können ebenfalls zum Aufspüren von Exploits verwendet werden.
Die neu aufgedeckten Sicherheitslücken zeigen, dass die Browsersicherheit nicht auf die leichte Schulter genommen werden darf, insbesondere da Chrome heute die beliebteste Plattform der Welt ist.
Google reagierte zwar schnell mit Patches, die Verantwortung für den Schutz der Endnutzer liegt jedoch letztlich bei ihnen. Im digitalen Zeitalter sind zeitnahe Software-Updates und das Bewusstsein für die Sicherheit persönlicher Daten zur ersten und wichtigsten Verteidigungslinie geworden.
Quelle: https://tuoitre.vn/lo-hong-zero-day-nguy-hiem-tren-google-chrome-nguoi-dung-chu-y-20250610102157359.htm
Kommentar (0)