Google hat ein dringendes Sicherheitsupdate für den Chrome-Browser veröffentlicht, das sechs schwerwiegende Sicherheitslücken schließt. Im Fokus steht dabei CVE-2025-6558, eine kritische Schwachstelle mit einem CVSS-Score von 8,8, die bereits aktiv von Cyberkriminellen zur Umgehung der Browser-Sicherheitsmechanismen eingesetzt wird.
Technische Analyse der CVE-2025-6558 Schwachstelle
Die Sicherheitslücke wurde von Forschern des Google Threat Analysis Group (TAG), Clement Lecigne und Vlad Stolyarov, entdeckt. Das Problem liegt in der unzureichenden Validierung von nicht vertrauenswürdigen Eingaben in den kritischen ANGLE- und GPU-Komponenten von Chrome-Versionen vor 138.0.7204.157.
Laut der NIST NVD-Datenbank ermöglicht diese Schwachstelle es Angreifern, die Browser-Sandbox durch eine speziell präparierte HTML-Seite zu umgehen. Dies bedeutet, dass bereits der bloße Besuch einer bösartigen Website Angreifern Zugang zum zugrundeliegenden Betriebssystem verschaffen kann.
ANGLE-Komponente: Kritischer Schwachpunkt in der Chrome-Architektur
ANGLE (Almost Native Graphics Layer Engine) fungiert als Open-Source-Grafik-Engine, die als Zwischenschicht zwischen Chromes Rendering-System und Hardware-Grafiktreibern arbeitet. Die Hauptaufgabe besteht darin, OpenGL ES API-Aufrufe in entsprechende Befehle für Direct3D, Metal, Vulkan und OpenGL zu übersetzen.
Die kritische Bedeutung von ANGLE ergibt sich daraus, dass diese Komponente GPU-Befehle aus potenziell nicht vertrauenswürdigen Quellen verarbeitet, einschließlich WebGL-Inhalten verschiedener Websites. Schwachstellen in diesem Modul schaffen einen direkten Angriffsvektor für Sandbox-Umgehungen durch Low-Level-GPU-Operationen.
Angriffsvektoren und potenzielle Bedrohungen
Google gibt keine Details darüber preis, wie CVE-2025-6558 konkret ausgenutzt wurde, bestätigt jedoch die Existenz funktionierender Exploits. Die Zugehörigkeit der entdeckenden Forscher zum TAG-Team liefert wichtige Hinweise auf die Art der Bedrohung.
Das Google Threat Analysis Group spezialisiert sich auf den Schutz vor staatlich unterstützten Hackergruppen und Advanced Persistent Threats (APT). Das TAG-Team identifiziert regelmäßig Zero-Day-Exploits, die für gezielte Angriffe gegen Politiker, Journalisten, Menschenrechtsaktivisten und Dissidenten eingesetzt werden.
Weitere Sicherheitslücken im aktuellen Update
Neben der kritischen CVE-2025-6558 behebt das Chrome-Update fünf weitere bedeutende Sicherheitslücken:
CVE-2025-7656 stellt ein schwerwiegendes Problem in der JavaScript-Engine V8 dar, das die Ausführung beliebigen Codes durch speziell gestalteten JavaScript-Code ermöglichen könnte.
CVE-2025-7657 betrifft eine Use-After-Free-Schwachstelle in der WebRTC-Komponente, die für Echtzeit-Web-Kommunikation verantwortlich ist.
Sofortige Sicherheitsmaßnahmen für Chrome-Nutzer
Angesichts der aktiven Ausnutzung von CVE-2025-6558 und des hohen Bedrohungsniveaus sollten Chrome-Nutzer umgehend auf Version 138.0.7204.157 oder 138.0.7204.158 aktualisieren, je nach Betriebssystem.
Dieser Vorfall unterstreicht die kritische Bedeutung zeitnaher Browser-Updates und demonstriert, wie moderne Web-Technologien wie WebGL zu Angriffsvektoren für komplexe Attacken werden können. Regelmäßige Software-Updates bleiben eine der effektivsten Schutzmaßnahmen gegen die Ausnutzung bekannter Schwachstellen, insbesondere bei Komponenten, die nicht vertrauenswürdige Inhalte aus dem Internet verarbeiten.
