Google hat kurzfristig ein Sicherheitsupdate für Chrome bereitgestellt, das vier Schwachstellen schließt. Besonders kritisch ist CVE‑2025‑10585, eine bereits in freier Wildbahn ausgenutzte Zero‑Day‑Lücke in der JavaScript‑Engine V8. Der Fehler gehört zur Klasse Type‑Confusion und kann im Rendering‑Prozess zu Remote Code Execution führen.
Kritische Chrome-Sicherheitslücke CVE‑2025‑10585: Technische Einordnung und Risiken
Type‑Confusion beschreibt Situationen, in denen die Engine einen Objekt‑Typ falsch interpretiert. Dadurch können Speichergrenzen verletzt werden. In modernen Browsern ist das ein häufiger Ausgangspunkt, um von einer Engine‑Schwäche zu Codeausführung in der isolierten Tab‑Sandbox überzugehen.
Google bestätigt, dass ein Exploit für CVE‑2025‑10585 bereits beobachtet wurde. Übliche Praxis ist, technische Details und Exploit‑Wege zurückzuhalten, bis Patches breit ausgerollt sind. Das reduziert das Risiko von Nachahmerangriffen.
In der Praxis beginnen Angriffsketten häufig mit einem V8‑Bug und nutzen anschließend zusätzliche Schwächen, etwa in der Inter‑Prozess‑Kommunikation oder im Betriebssystem, um eine Sandbox‑Flucht zu erreichen. Deshalb ist die zügige Aktualisierung des Browsers eine der wirksamsten Gegenmaßnahmen auf Arbeitsplatzrechnern.
Verfügbare Versionen und sichere Updates für Windows, macOS und Linux
Der Fix ist in Chrome 140.0.7339.185/.186 für Windows und macOS sowie in 140.0.7339.185 für Linux enthalten. Der Rollout erfolgt stufenweise und kann Tage bis Wochen dauern.
Ein sofortiger manueller Check ist ratsam: Öffnen Sie das Menü „Hilfe“ → „Über Google Chrome“. Nach dem Update ist ein Neustart des Browsers erforderlich, damit der Patch aktiv wird. Verifizieren Sie, dass die angezeigte Build‑Nummer der genannten 140.0.7339.185/186 entspricht.
Zero-Day-Trend und Rolle von Google TAG
Laut den Release‑Notes ist CVE‑2025‑10585 die sechste Zero‑Day‑Schwachstelle, die Google 2025 in Chrome geschlossen hat. Die Threat Analysis Group (TAG) von Google beobachtet regelmäßig Kampagnen, die frische Browser‑Exploits gezielt gegen Journalistinnen und Journalisten, Dissidenten, Zulieferer in der Lieferkette und strategische Branchen einsetzen.
Dieser Trend bestätigt, dass Browser‑0‑Days ein attraktives Einfallstor für hochgradig fokussierte Angriffe bleiben. Der geringe Aufwand für die Opfer (nur das Aufrufen einer präparierten Seite) und die weite Verbreitung von Chrome erhöhen den Wirkungsgrad solcher Operationen.
Konkrete Handlungsempfehlungen zur Risikominimierung
Für Endnutzerinnen und Endnutzer
Aktualisieren Sie Chrome umgehend auf 140.0.7339.185/186 und starten Sie den Browser neu. Stellen Sie sicher, dass automatische Updates aktiviert sind und die Build‑Nummer korrekt ist.
Aktivieren Sie die Erweiterte Schutzfunktion von Google Safe Browsing. Seien Sie zurückhaltend beim Öffnen unbekannter Links und Anhänge, insbesondere aus unerwarteten E‑Mails oder Messengern.
Für IT- und Security-Teams
Erzwingen Sie das Update zeitnah über MDM/WSUS bzw. Ihre Patch‑Management‑Lösung und definieren Sie ein klares SLA für die Verteilung. Überwachen Sie die Compliance der Endpunkte gegenüber der Zielversion.
Prüfen Sie Richtlinien für Browser‑Erweiterungen, blockieren Sie unnötige Add‑ons und reduzieren Sie Berechtigungen nach dem Least‑Privilege‑Prinzip. Inventarisieren Sie kritische Workstations und priorisieren Sie dort das Patch‑Fenster.
Beobachten Sie die Kanäle Chrome Releases und Google TAG für nachgelagerte Indikatoren und technische Details, die nach dem breiten Patch‑Rollout veröffentlicht werden könnten. Kommunizieren Sie intern erhöhte Vorsicht beim Besuch unbekannter Websites.
Da CVE‑2025‑10585 bereits aktiv ausgenutzt wird, ist Zögern riskant. Wer den Patch jetzt installiert und Chrome neu startet, reduziert die Angriffschance erheblich. Kontinuierliche Updates, grundlegende Cyberhygiene und klare Unternehmensrichtlinien bleiben die kosteneffizientesten Maßnahmen gegen Zero‑Day‑Exploits in einem zentralen Arbeitswerkzeug wie dem Webbrowser.
