Google hat ein Notfall-Sicherheitsupdate für den Chrome-Browser veröffentlicht, um eine kritische Schwachstelle (CVE-2025-4664) zu beheben. Die Sicherheitslücke ermöglicht Angreifern unter bestimmten Umständen den unauthorisierten Zugriff auf Benutzerkonten durch manipulierte HTML-Seiten und Cross-Origin-Anfragen.
Technische Analyse der Sicherheitslücke
Die vom Sicherheitsforscher Vsevolod Kokorin (Solidlab) entdeckte Schwachstelle basiert auf einer fehlerhaften Implementierung der Loader-Komponente in Chrome. Anders als andere Browser verarbeitet Chrome Link-Header bei Ressourcenanfragen auf eine Weise, die Sicherheitsrisiken birgt. Besonders kritisch ist die Möglichkeit, durch den Parameter „referrer-policy: unsafe-url“ vertrauliche Informationen aus URL-Parametern abzugreifen.
Auswirkungen und Angriffsszenarios
Die Schwachstelle ist besonders gefährlich im Kontext von OAuth-Authentifizierungsprozessen, wo kompromittierte Request-Parameter zur vollständigen Übernahme von Benutzerkonten führen können. Sicherheitsexperten warnen, dass viele Webanwendungen anfällig für diese Art von Angriffen sind, da Entwickler die Möglichkeit des Parameter-Diebstahls durch externe Bildressourcen häufig übersehen.
Sicherheitsupdate und Schutzmaßnahmen
Google hat Sicherheitsupdates für alle Plattformen bereitgestellt:
– Windows/Linux: Version 136.0.7103.113
– macOS: Version 136.0.7103.114
Die Updates werden automatisch verteilt, können aber auch manuell über das Chrome-Menü → „Einstellungen“ → „Über Chrome“ installiert werden.
Obwohl bisher keine Angriffe in freier Wildbahn dokumentiert wurden, erhöht die Existenz öffentlicher Exploit-Codes das Risiko für nicht aktualisierte Systeme erheblich. Systemadministratoren und Sicherheitsverantwortliche sollten umgehend sicherstellen, dass alle Chrome-Installationen in ihrem Verantwortungsbereich auf den neuesten Stand gebracht werden. Zusätzlich empfiehlt sich die Aktivierung der automatischen Updates sowie regelmäßige Sicherheitsüberprüfungen der eigenen Webanwendungen, insbesondere im Hinblick auf OAuth-Implementierungen und Cross-Origin-Ressourcenzugriffe.
