CVE-2025-4664
Chrome-Sicherheitslücken: Aktuelle Schwachstelle wird aktiv ausgenutzt
Google hat für seinen Webbrowser Chrome ein wichtiges Sicherheitsupdate veröffentlicht, das insgesamt vier Schwachstellen schließt. Besonders kritisch ist dabei eine Sicherheitslücke, für die bereits ein Exploit im Umlauf ist und die aktiv ausgenutzt wird.
Die als CVE-2025-4664 bezeichnete Schwachstelle betrifft die Komponente „Loader“ von Chrome. Sie wird von Google mit einem hohen Risiko eingestuft und erhielt im CVSS-Bewertungssystem einen Wert von 4.3, was als mittleres Risiko gilt. Die Lücke entsteht durch eine unzureichende Durchsetzung von...
Die als CVE-2025-4664 bezeichnete Schwachstelle betrifft die Komponente „Loader“ von Chrome. Sie wird von Google mit einem hohen Risiko eingestuft und erhielt im CVSS-Bewertungssystem einen Wert von 4.3, was als mittleres Risiko gilt. Die Lücke entsteht durch eine unzureichende Durchsetzung von Sicherheitsrichtlinien: Angreifer können mithilfe manipuliert gestalteter HTML-Seiten Informationen aus anderen Ursprüngen (sogenannte „cross-origin data“) abgreifen. Das bedeutet, dass eine bösartige Webseite Daten von anderen Webseiten auslesen kann, die eigentlich durch die Same-Origin-Policy geschützt sein sollten.
Laut Google ist bereits ein funktionierender Exploit für diese Schwachstelle im Umlauf, was das Risiko für Nutzer deutlich erhöht. Die Schwachstelle wurde von einem externen Sicherheitsforscher entdeckt und öffentlich dokumentiert.
Die Schwachstelle basiert darauf, dass Chrome beim Laden von Subressourcen den HTTP-Header „Link“ auswertet. Über diesen Header kann eine Referrer-Policy gesetzt werden, die es Angreifern ermöglicht, sensible Informationen wie Query-Parameter zu stehlen. Diese Parameter enthalten oft Zugangsdaten oder Tokens, die im schlimmsten Fall eine vollständige Kontoübernahme ermöglichen. Die Daten können beispielsweise über ein eingebettetes Bild von einer Drittseite abgegriffen werden.
Neben CVE-2025-4664 wurden drei weitere Sicherheitslücken geschlossen, die ebenfalls als „hoch“ eingestuft sind. Diese betreffen unter anderem die Render-Engine Blink und die Mojo-API. Angreifer könnten über diese Lücken Schadcode einschleusen oder den Browser zum Absturz bringen. Zwei der vier Lücken wurden von externen Forschern gemeldet, die von Google für ihre Hinweise belohnt wurden.
Das Sicherheitsupdate steht für Windows und Mac als Version 136.0.7103.114 sowie für Linux als Version 136.0.7103.113 bereit. Auch für Android wurde ein Update (136.0.7103.125) veröffentlicht. Nutzer anderer Chromium-basierter Browser wie Microsoft Edge, Brave, Opera oder Vivaldi sollten ebenfalls auf entsprechende Updates achten, sobald diese bereitgestellt werden.
Das Update kann über das Menü „Über Google Chrome“ manuell angestoßen werden. Es kann einige Zeit dauern, bis es allen Nutzern zur Verfügung steht, steht aber auch direkt zum Download bereit.
