Chrome 142: Google schließt siebte aktiv genutzte Sicherheitslücke

Notfall-Update für Milliarden Nutzer: Google warnt vor gefährlicher Zero-Day-Schwachstelle in Chrome. Die Sicherheitslücke wird bereits aktiv ausgenutzt – sofortiges Handeln erforderlich.

Google hat einen kritischen Sicherheitsalarm für Chrome-Nutzer weltweit ausgelöst. Das diese Woche veröffentlichte Notfall-Update behebt eine hochgefährliche Zero-Day-Schwachstelle, die Angreifer bereits aktiv ausnutzen. Die Lücke in der V8-JavaScript-Engine des Browsers könnte es Kriminellen ermöglichen, Schadcode auf Computern ihrer Opfer auszuführen.

Im Zentrum des Notfall-Updates steht CVE-2025-13223, eine hochgradige Sicherheitslücke vom Typ “Type Confusion” in Chromes V8-Engine für JavaScript und WebAssembly. “Es existiert ein aktiver Exploit für CVE-2025-13223”, warnte Google am Montag, 18. November, in seiner offiziellen Stellungnahme.

Passend zum Thema Chrome‑Zero‑Days — viele IT‑Teams und Entscheider sind auf schnelle In‑Browser‑Exploits nicht ausreichend vorbereitet. Ein kostenloses E‑Book erklärt, wie Zero‑Day‑Angriffe funktionieren (inkl. Beispiele wie die jüngsten CVE‑Fälle), welche Sofortmaßnahmen jetzt Schutz bieten und welche Rolle KI‑gestützte Abwehr sowie neue Regularien spielen. Mit praxisnahen Checklisten für Administratoren und Prioritätenlisten, um Lücken zügig zu schließen. Kostenloses Cyber-Security-E-Book herunterladen

Type-Confusion-Schwachstellen entstehen, wenn ein Programm auf Daten mit einem inkompatiblen Datentyp zugreift. Bei V8 – dem Motor, der JavaScript in Chrome verarbeitet – kann diese Verwechslung zur Waffe werden. Angreifer können eine manipulierte Webseite erstellen, die den Browser beim bloßen Besuch dazu bringt, beliebigen Code auszuführen. Im schlimmsten Fall übernehmen sie die Kontrolle über das gesamte System.

Die Sicherheitslücke meldete Clément Lecigne von Googles Threat Analysis Group (TAG) am 12. November. TAG ist bekannt für die Verfolgung staatlich unterstützter Hackergruppen und kommerzieller Spyware-Anbieter. Dies legt nahe, dass der Exploit eher für gezielte Spionagekampagnen als für flächendeckende kriminelle Angriffe eingesetzt wurde. Google hält Details zur Lücke unter Verschluss, um weitere Angriffe zu verhindern, während Nutzer ihre Browser aktualisieren.

KI-Verteidigung: “Big Sleep” schlägt Alarm

In einer bemerkenswerten Entwicklung behebt das Update auch CVE-2025-13224, eine zweite hochgradige Schwachstelle. Der Clou: Diese Lücke entdeckte nicht ein menschlicher Forscher, sondern Big Sleep – Googles KI-gestütztes Projekt zur Schwachstellenforschung.

Auch CVE-2025-13224 ist eine Type-Confusion-Schwachstelle in der V8-Engine. Anders als bei der Zero-Day-Lücke gibt es jedoch keine Hinweise auf eine Ausnutzung vor ihrer Entdeckung. “Google identifizierte die Schwachstelle mithilfe von Big Sleep am 9. Oktober 2025”, berichten Sicherheitsanalysten.

Kann KI die Cybersicherheit revolutionieren? Die gleichzeitige Veröffentlichung einer von Menschen und einer von KI entdeckten Schwachstelle zeigt, wohin die Reise geht: eine hybride Zukunft, in der menschliches Fachwissen und KI-Skalierung Hand in Hand arbeiten.

Sofortige Aktualisierung auf Chrome 142 erforderlich

Sicherheitsexperten raten allen Chrome-Nutzern unter Windows, macOS und Linux zur sofortigen Aktualisierung. Der stabile Kanal wurde auf folgende Versionen aktualisiert:

• Windows: 142.0.7444.175 oder 142.0.7444.176
• macOS: 142.0.7444.176
• Linux: 142.0.7444.175

Obwohl Chrome normalerweise automatisch im Hintergrund aktualisiert, können Nutzer das Update manuell anstoßen:

1. Chrome öffnen und auf das Drei-Punkte-Menü oben rechts klicken
2. Hilfe > Über Google Chrome auswählen
3. Der Browser prüft und installiert Updates automatisch
4. Auf “Neu starten” klicken, um den Patch zu aktivieren

Auch Nutzer anderer Chromium-basierter Browser wie Microsoft Edge, Brave oder Opera sollten nach Updates Ausschau halten, da sie die betroffene V8-Engine ebenfalls verwenden.

Bedrohungslage 2025: Sieben Zero-Days in einem Jahr

Mit CVE-2025-13223 steigt die Zahl der in diesem Jahr aktiv ausgenutzten Chrome-Zero-Days auf sieben. Eine beunruhigende Bilanz – wenn auch ein leichter Rückgang gegenüber den zehn Schwachstellen im Vergleichszeitraum 2024.

Die wiederkehrenden V8-Schwachstellen bleiben das zentrale Thema der Browser-Sicherheit. “Memory-Safety-Bugs wie Type Confusion in V8 sind nach wie vor der bevorzugte Angriffsvektor”, erklären Forscher von Intrucept. “Da V8 nicht vertrauenswürdigen Code aus dem Web verarbeitet, ist sie die meistangegriffene Oberfläche des Browsers.”

Die Beteiligung von Google TAG an der Entdeckung von CVE-2025-13223 deutet stark auf kommerzielle Überwachungsanbieter (CSVs) hin. Diese Unternehmen entwickeln und verkaufen hochentwickelte Spyware an Regierungen, oft unter Nutzung von Zero-Day-Ketten gegen hochwertige Ziele wie Journalisten, Aktivisten oder Diplomaten.

Der Erfolg von “Big Sleep” bietet jedoch Hoffnung: Durch KI-gestütztes Fuzzing und Code-Analyse in bisher unerreichbarer Tiefe wollen Anbieter wie Google Schwachstellen schneller “verbrennen”, als der Schwarzmarkt sie finden kann.

Ausblick: KI gegen Hacker

Das Katz-und-Maus-Spiel zwischen Browser-Herstellern und Exploit-Entwicklern geht unvermindert weiter. Google wird voraussichtlich seinen aggressiven wöchentlichen Sicherheits-Update-Rhythmus beibehalten, um die “Patch-Lücke” zu minimieren – jene kritische Zeitspanne zwischen Patch-Veröffentlichung und tatsächlicher Installation auf Nutzergeräten.

Für 2026 erwartet die Branche eine verstärkte Nutzung KI-getriebener Code-Prüfung. Wenn Tools wie Big Sleep weiter reifen, könnte sich das Verhältnis verschieben: Die Mehrheit kritischer Bugs würde dann intern von KI statt extern von Angreifern entdeckt. Bis dahin bleibt die effektivste Verteidigung die einfachste: Software konsequent aktuell halten.

PS: Schützen Sie Ihre Organisation vor neuen Browser‑Exploits — dieses kostenlose E‑Book fasst die wichtigsten Cyber‑Security‑Trends zusammen und liefert konkrete Gegenmaßnahmen gegen Zero‑Day‑Exploits, Anti‑Phishing‑Strategien sowie einfache Richtlinien für sichere Update‑Prozesse. Enthält Checklisten, Priorisierungslisten und umsetzbare Schritte für die nächsten 30 Tage, ideal für kleine und mittlere Unternehmen mit begrenztem IT‑Budget. Jetzt kostenloses Cyber-Security-Guide anfordern