Chrome: Kritische Sicherheitslücke wird aktiv ausgenutzt

Google hat eine Notfall-Aktualisierung für seinen Chrome-Browser veröffentlicht, um eine schwerwiegende Sicherheitslücke zu schließen, die bereits von Angreifern ausgenutzt wird. Die als CVE-2025-13223 identifizierte Schwachstelle betrifft Milliarden Nutzer auf Windows, macOS und Linux – das Unternehmen drängt auf sofortige Installation des Updates.

Das am Montag, 18. November 2025, ausgelieferte Update behebt eine gefährliche Schwachstelle in Chromes Verarbeitungseinheit, die Angreifer bereits aktiv ausnutzen. In einer Sicherheitsmitteilung bestätigt Google: „Uns ist bekannt, dass ein Exploit für CVE-2025-13223 im Umlauf ist.” Diese Formulierung signalisiert höchste Alarmstufe – Kriminelle haben die Lücke bereits genutzt, bevor ein Patch verfügbar war. Das Update wird schrittweise über den Stable Desktop-Kanal verteilt.

Bei der Schwachstelle handelt es sich um einen „Type Confusion”-Fehler in V8, Googles Open-Source-Engine für JavaScript und WebAssembly, die Chrome und andere Chromium-Browser antreibt. Type-Confusion-Lücken zählen zu den gefährlichsten Speichersicherheitsfehlern: Sie entstehen, wenn Programmcode auf eine Speicherstelle mit einem falschen Datentyp zugreift und so den Speicher auf unvorhersehbare Weise beschädigt.

Passend zum Thema Browsersicherheit: Zero‑Day‑Exploits wie CVE‑2025‑13223 zeigen, wie schnell Angreifer kritische Lücken ausnutzen können. Ein kostenloses E‑Book für Unternehmen fasst aktuelle Cyber‑Security‑Trends zusammen und bietet praxisnahe Sofortmaßnahmen — von Priorisierung von Patches über einfache Härtungsregeln bis zu Awareness‑Checks. Ideal für IT‑Leiter und Sicherheitsverantwortliche, die ihre Infrastruktur ohne große Investitionen stärken wollen. Cyber‑Security‑Report jetzt herunterladen

Konkret können Angreifer diese Schwachstelle ausnutzen, indem sie eine präparierte HTML-Seite erstellen. Besucht ein Nutzer diese Seite, kann der Fehler es einem externen Angreifer ermöglichen, unbefugte Aktionen auszuführen – vom Ausführen beliebigen Codes bis zum Absturz des Browsers. Solche Exploits können zur vollständigen Kompromittierung des Systems führen. Angreifer könnten auf sensible Daten zugreifen oder Schadsoftware installieren, indem sie Nutzer auf manipulierte Websites locken. Die Schwachstelle erhielt einen CVSS-Score von 8,8 – die Einstufung „hoch”.

Entdeckt von Googles Elite-Sicherheitsteam

Die Zero-Day-Lücke wurde am 12. November 2025 von Clément Lecigne aus Googles Threat Analysis Group (TAG) entdeckt und gemeldet. Die Beteiligung dieser Eliteeinheit ist bedeutsam: TAG ist bekannt dafür, hochentwickelte staatlich unterstützte Bedrohungsgruppen und kommerzielle Spyware-Anbieter zu verfolgen, die oft Zero-Day-Exploits für Spionage und gezielte Angriffe auf Hochrisikopersonen wie Journalisten und Dissidenten einsetzen.

Zwar hat Google keine Details zu den laufenden Angriffen veröffentlicht – eine Standardpraxis, um eine weitere Ausnutzung während der Update-Phase zu verhindern. Doch die Entdeckung durch TAG deutet darauf hin, dass der Exploit möglicherweise in gezielten Kampagnen zum Einsatz kam. Das Unternehmen schränkt den Zugang zu Bug-Details typischerweise ein, bis die Mehrheit der Nutzer geschützt ist. CVE-2025-13223 ist bereits die siebte Zero-Day-Schwachstelle, die Google 2025 in Chrome gepatcht hat – ein Beleg für den anhaltenden Trend, dass Angreifer Browser-Komponenten systematisch ins Visier nehmen.

Patch verfügbar: So aktualisieren Sie Ihren Browser

Google hat den Fix bereits in der neuesten Chrome-Version veröffentlicht. Nutzer sollten dringend sicherstellen, dass ihr Browser auf eine der folgenden Versionen aktualisiert ist:
* Windows: 142.0.7444.175 oder 142.0.7444.176
* macOS: 142.0.7444.176
* Linux: 142.0.7444.175

Chrome aktualisiert sich zwar automatisch, doch der Prozess kann verzögert werden, wenn der Browser nicht neu gestartet wird. Für ein manuelles Update navigieren Sie zu Einstellungen > Hilfe > Über Google Chrome. Der Browser prüft dann auf die neueste Version und lädt diese bei Verfügbarkeit herunter. Nach dem Download erscheint eine Schaltfläche „Neu starten”, um die Installation abzuschließen. Nutzer anderer Chromium-basierter Browser wie Microsoft Edge, Brave, Opera und Vivaldi sollten ebenfalls auf entsprechende Sicherheitsupdates achten.

Dauerhafte Angriffsziele: V8 im Fokus

Die V8-JavaScript-Engine bleibt ein bevorzugtes Angriffsziel – ihre Komplexität und direkte Exposition gegenüber Webinhalten machen sie verwundbar. CVE-2025-13223 ist bereits der dritte aktiv ausgenutzter Type-Confusion-Bug in V8 allein in diesem Jahr. Die Häufigkeit solcher hochschweren Exploits unterstreicht das anhaltende Katz-und-Maus-Spiel zwischen Browser-Entwicklern und hochspezialisierten Bedrohungsakteuren.

Interessanterweise behob dasselbe Update auch eine zweite hochschwere Type-Confusion-Lücke in V8, gelistet als CVE-2025-13224. Dieser zweite Bug wurde nicht als aktiv ausgenutzt gemeldet und von „Big Sleep” entdeckt – Googles autonomem KI-System zur Schwachstellenforschung. Die gleichzeitige Behebung einer von Menschen entdeckten, ausgenutzten und einer KI-entdeckten, nicht ausgenutzten Schwachstelle zeigt den vielschichtigen Ansatz, mit dem Google seinen Browser gegen eine unerbittliche Flut von Bedrohungen absichert.

Die Lehre: Automatische Updates als Lebensversicherung

Die Entdeckung und Ausnutzung von CVE-2025-13223 mahnt eindringlich: Sowohl Privatnutzer als auch Unternehmen müssen ihre Software aktuell halten. Browser sind das primäre Tor zum Internet und damit eine der kritischsten Anwendungen für die Sicherheit. Während Angreifer weiterhin neue Schwachstellen finden und bewaffnen, bleibt die Aktivierung automatischer Updates die wirksamste Verteidigung für durchschnittliche Nutzer.

Für Cybersecurity-Teams in Organisationen macht die aktive Ausnutzung dieser Lücke deren Patching auf allen verwalteten Geräten zur Priorität. Sobald weitere technische Details zu den Exploit-Methoden auftauchen, können Sicherheitsexperten die Fähigkeiten der Bedrohungsakteure besser einschätzen und Verteidigungsstrategien weiter verfeinern. Bis dahin ist die Botschaft von Google und der Cybersecurity-Community klar: Aktualisieren Sie Chrome jetzt.

PS: Die beste Verteidigung gegen Browser‑Zero‑Days ist eine Kombination aus zeitnahen Updates und gezielten Schutzmaßnahmen. Fordern Sie den kostenlosen Cyber‑Security‑Report an — mit Checklisten für Patch‑Management, Empfehlungen zu Schutzprioritäten und praxisnahen Handlungsschritten, die auch kleine IT‑Teams sofort umsetzen können. Perfekt für Verantwortliche, die Risiken schnell reduzieren wollen. Jetzt kostenlosen Cyber‑Security‑Report anfordern