Chrome: Kritische Sicherheitslücken und Millionen-Verlust durch Wallet-Hack

Google-Chrome-Nutzer müssen diese Woche sofort handeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Warnstufe für den Browser auf “hoch” angehoben. Gleichzeitig bestätigte sich ein Millionenschaden durch ein kompromittiertes Krypto-Wallet.

BSI warnt vor schweren Lücken im Browser

Das BSI aktualisierte seine Risikobewertung für Google Chrome und Microsoft Edge am 24. Dezember 2025. Die Behörde stuft die Bedrohung durch mehrere Sicherheitslücken in der Chromium-Basis nun als “hoch” ein. Angreifer könnten dadurch beliebigen Programmcode ausführen, Daten manipulieren oder Systemabstürze verursachen.

Die Schwachstellen mit einem kritischen CVSS-Basiswert von 8,8 betreffen Windows-, macOS- und Linux-Systeme. Besonders gefährdet sind die WebGPU- und WebAudio-Komponenten, die für moderne Webinhalte unverzichtbar sind. Ein Angriff erfordert zwar meist eine Nutzerinteraktion – etwa den Klick auf einen manipulierten Link. Angesichts der Allgegenwart von Phishing-Angriffen ist die Hürde für Kriminelle jedoch erschreckend niedrig.

Browser‑Zero‑Days und manipulierte Erweiterungen – wie in diesem Artikel beschrieben – führen schnell zu hohen Schäden für Firmen und Endkunden. Viele IT‑Abteilungen unterschätzen das Risiko: Studien zeigen, dass 73 % der deutschen Unternehmen nur unzureichend auf solche Angriffe vorbereitet sind. Ein kostenloses E‑Book fasst die aktuellen Cyber‑Security‑Trends zusammen, erklärt rechtliche Pflichten und liefert sofort umsetzbare Schutzmaßnahmen für Ihr Netzwerk. Ideal für Geschäftsführer, IT‑Verantwortliche und Admins. Jetzt kostenlosen Cyber‑Security‑Leitfaden herunterladen

Kritisches Update: Version 143.0.7499.170 ist Pflicht

Als Reaktion auf die Bedrohung hat Google bereits Mitte Dezember ein kritisches Update für den Stable Channel veröffentlicht. Die sichere Basisversion für Desktop-Nutzer ist nun Chrome 143.0.7499.170 für Windows und macOS beziehungsweise 143.0.7499.169 für Linux.

Das Update behebt auch eine bereits aktiv ausgenutzte Zero-Day-Schwachstelle (CVE-2025-14174) in der ANGLE-Grafikengine. Sicherheitsexperten warnen jedoch: Viele Nutzer könnten aufgrund von Urlaubsreisen oder aufgeschobenen Neustarts noch immer eine anfällige Version verwenden. Das BSI empfiehlt Privatnutzern und IT-Administratoren dringend, ihre Browserversion umgehend zu prüfen.

Schock für Krypto-Nutzer: Trust Wallet verliert sieben Millionen Euro

Parallel zur Browser-Bedrohung erschüttert ein weiterer Vorfall das Chrome-Ökosystem. Die Entwickler der beliebten Krypto-Wallet-Erweiterung Trust Wallet bestätigten am 28. Dezember einen schweren Sicherheitsvorfall. Hacker erbeuteten durch einen kompromittierten Update-Mechanismus etwa sieben Millionen Euro.

Laut Untersuchungen und Aussagen von Binance-Gründer Changpeng Zhao gelangten die Angreifer über einen geleakten API-Schlüssel in das Update-System. So konnten sie eine bösartige Version (v2.68) an Nutzer ausliefern, ohne die üblichen Sicherheitsalarme auszulösen. Die manipulierte Erweiterung war für kurze Zeit im Chrome Web Store verfügbar. Betroffene Nutzer sollten sofort auf Version 2.69 oder höher updaten und ihre Transaktionshistorie überprüfen.

2025: Das Jahr der Zero-Day-Lücken

Das Ende 2025 markiert ein herausforderndes Jahr für die Browsersicherheit. Allein für Chrome verzeichneten Cybersecurity-Firmen mindestens acht verschiedene Zero-Day-Schwachstellen – also Lücken, die ausgenutzt wurden, bevor Google einen Fix bereitstellen konnte.

Die in der aktuellen Update-Runde behobenen Schwachstellen (Chrome 143) betreffen vor allem “Use-After-Free”-Fehler. Dabei greift das Programm auf Speicherbereiche zu, die bereits freigegeben wurden, was die Einschleusung von Schadcode ermöglicht. Zu den spezifischen, nun gepatchten Lücken zählen:
* CVE-2025-14372: Ein schwerwiegender UAF-Fehler im Passwort-Manager.
* CVE-2025-14373: Ein Implementierungsfehler in der Toolbar.

Solche technischen Schwächen werden oft von staatlichen Akteuren oder Spyware-Händlern für gezielte Angriffe genutzt. Sobald die Exploits jedoch allgemein verfügbar werden, besteht auch für die breite Öffentlichkeit ein Risiko.

So schützen Sie sich sofort

Die Kombination aus einer schweren BSI-Warnung und einem erfolgreichen Supply-Chain-Angriff auf eine große Erweiterung macht diese Woche besonders kritisch. Nutzer sollten Updates nicht verzögern – die “Feiertagslücke” bietet Kriminellen oft ein Einfallstor.

Das ist jetzt zu tun:
1. Version prüfen: Rufen Sie Einstellungen > Hilfe > Über Google Chrome auf. Stellen Sie sicher, dass Version 143.0.7499.170 oder höher installiert ist.
2. Browser neu starten: Steht ein Update aus, klicken Sie sofort auf “Neu starten”. Der Schutz ist erst nach dem Neustart aktiv.
3. Erweiterungen überprüfen: Angesichts des Trust-Wallet-Hacks sollten Sie alle installierten Erweiterungen überprüfen. Entfernen Sie ungenutzte Add-ons oder solche unbekannter Entwickler.
4. Erweiterten Schutz aktivieren: Google empfiehlt, in den Sicherheitseinstellungen den “Erweiterten Schutz vor Betrug und Schadsoftware” einzuschalten. Dieser bietet Echtzeitschutz vor gefährlichen Seiten und Downloads.

PS: Konkrete Sofortmaßnahmen gesucht? Der Gratis‑Leitfaden zeigt in vier klaren Schritten, wie Sie Phishing‑Versuche erkennen, Zero‑Day‑Exploits abwehren und Lieferketten‑Angriffe wie den Trust‑Wallet‑Fall verhindern. Zusätzlich enthält das E‑Book Checklisten für Notfall‑Checks, Empfehlungen für Update‑Prozesse und Hinweise zu neuen KI‑Regeln, die jetzt für viele Unternehmen relevant sind. Fordern Sie das E‑Book kostenlos an und setzen Sie Schutzmaßnahmen noch heute um. Kostenloses E‑Book jetzt sichern