Seit Ende September 2025 warnt die US-amerikanische „Cybersecurity and Infrastructure Security Agency“ (CISA) vor einer akut ausgenutzten Zero-Day-Schwachstelle in Google Chrome. Diese ist unter der Kennung CVE-2025-10585 erfasst und betrifft die V8-JavaScript- und WebAssembly-Engine in Chromium – also das Herzstück, das JavaScript im Browser verarbeitet.​

Aufbau und Funktionsweise der Attacke

Die Sicherheitslücke basiert auf einem sogenannten Type-Confusion-Fehler, bei dem der Browser Datenobjekte falsch interpretiert. Angreifer können diese Schwachstelle durch speziell präparierte Webseiten ausnutzen, um eine Heap-Korruption auszulösen und beliebigen Schadcode auszuführen – beispielsweise zum Nachladen von Ransomware oder Spionagesoftware.​

Ein erfolgreicher Angriff erfordert meist nur den Besuch einer manipulierten Webseite. Auf diese Weise können unbemerkt Aktionen im System ausgeführt oder sensible Daten wie Cookies, Passwörter und Session-Tokens abgegriffen werden.​

Folgen und Risiken

Die CISA stuft die Lücke mit einem Schweregrad von 9,8 (kritisch) ein. Betroffen sind alle gängigen Plattformen: Windows, macOS, Linux und Android. Chrome-basierte Browser wie Microsoft Edge, Opera, Brave oder Vivaldi sind ebenfalls gefährdet.​

Gezielte Attacken wurden bereits dokumentiert, was die Dringlichkeit unterstreicht.​

Gegenmaßnahmen und empfohlene Schritte

Google reagierte umgehend mit einem Notfall-Update auf die Versionen 140.0.7339.185/.186 für Windows und macOS sowie 140.0.7339.185 für Linux. Nutzerinnen und Nutzer sollten umgehend prüfen, ob ihr Browser aktuell ist – unter „Hilfe → Über Google Chrome“.​

Auch Organisationen werden angehalten, folgende Maßnahmen umzusetzen:

• Sicherheitsupdates sofort installieren (auch auf mobilen Geräten)
• automatische Updates aktivieren und in Endpoint-Management-Systeme integrieren
• Browser-basierte Policies zur Update-Verpflichtung einführen
• Mitarbeitende sensibilisieren, keine unbekannten Links anzuklicken
• Zero-Day-Detection-Lösungen oder Verhaltenserkennungssysteme implementieren

Für besonders sicherheitskritische Umgebungen empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), potenziell kompromittierte Systeme zu scannen und temporär auf abgesicherte Browserumgebungen auszuweichen.​

Diese Zero-Day-Lücke zeigt erneut, wie schnell Sicherheitsrisiken im Browserumfeld entstehen können. Da Browser zu den am häufigsten genutzten Anwendungen (ERP-Systemzugang, Onlinebanking, Recherchen …) gehören, sind zeitnahe Reaktionen entscheidend. Unternehmen sollten ihre Patch-Prozesse überprüfen und sicherstellen, dass Sicherheitsaktualisierungen innerhalb von 24 Stunden nach Bekanntgabe ausgerollt werden.

Als spezialisierte Datenschutz- und Informationssicherheitsbeauftragte unterstützen wir Sie dabei, Ihre Sicherheitsprozesse wirksam zu gestalten und regulatorische Anforderungen einzuhalten. Unter datenschutz@domusconsult.de stehen wir für Sie bereit, um gemeinsam Ihre digitale Sicherheit zu stärken.