Chrome und Edge: Kritische Zero-Day-Sicherheitslücke wird aktiv ausgenutzt

Google und Microsoft schlagen Alarm: Eine schwerwiegende Sicherheitslücke in Chrome und Edge wird bereits von Angreifern ausgenutzt. Die US-Cybersicherheitsbehörde CISA stuft die Bedrohung als so kritisch ein, dass Bundesbehörden bis zum 14. Oktober alle Systeme absichern müssen.

Die Schwachstelle mit der Bezeichnung CVE-2025-10585 betrifft hunderte Millionen Nutzer weltweit. Angreifer können durch speziell präparierte Websites schädlichen Code auf fremden Computern ausführen – ein simpler Webseitenbesuch genügt bereits für eine Infektion.

Gefährliche „Type Confusion“ im Browser-Kern

Das Herzstück des Problems liegt in der V8-Engine, die sowohl Chrome als auch Edge für die Ausführung von JavaScript-Code nutzen. Die Sicherheitslücke entsteht durch eine sogenannte „Type Confusion“ – der Browser interpretiert Datentypen falsch und öffnet dadurch Einfallstore für Angreifer.

Besonders perfide: Nutzer merken von dem Angriff zunächst nichts. Sie besuchen eine harmlos aussehende Website, während im Hintergrund bereits schädlicher Code das System übernimmt. Googles Threat Analysis Group, die sich auf die Aufdeckung staatlich unterstützter Spionage-Kampagnen spezialisiert hat, entdeckte die aktive Ausnutzung der Lücke.

Bereits die sechste Zero-Day-Schwachstelle in Chrome in diesem Jahr – ein beunruhigender Trend, der zeigt, wie intensiv Cyberkriminelle Browser-Schwachstellen ins Visier nehmen.

Weitere kritische Lücken entdeckt

Neben der Zero-Day-Schwachstelle haben die Sicherheitsteams weitere gefährliche Probleme identifiziert. CVE-2025-11458 betrifft Chrome Sync und könnte Angreifern ermöglichen, durch überladene Synchronisationsdaten Code auszuführen.

Eine zusätzliche „Use-after-Free“-Schwachstelle (CVE-2025-11460) in der Browser-Speicherkomponente komplettiert das Bedrohungsszenario. Auch hier reicht der Besuch einer manipulierten Website für eine erfolgreiche Attacke aus.

Da Microsoft Edge auf derselben Chromium-Engine basiert wie Chrome, sind beide Browser gleichermaßen verwundbar. Microsoft hat entsprechend schnell reagiert und die kritischen Patches in seine eigenen Updates integriert.

Sofort-Update dringend empfohlen

Für Chrome-Nutzer: Über das Drei-Punkte-Menü → „Hilfe“ → „Über Google Chrome“ lässt sich die aktuelle Version prüfen. Sicher sind Versionen ab 141.0.7390.65/.66.

Für Edge-Nutzer: Das Drei-Punkte-Menü → „Hilfe und Feedback“ → „Über Microsoft Edge“ startet die Update-Überprüfung.

Normalerweise installieren sich Browser-Updates automatisch beim nächsten Neustart. Angesichts der aktiven Bedrohung sollten Nutzer jedoch nicht warten, sondern sofort manuell nach Updates suchen.

Anzeige: Während Sie Ihren PC absichern, bleibt das Smartphone oft die unterschätzte Einfallstür – gerade bei WhatsApp, Online-Banking und PayPal. Viele Android-Nutzer übersehen 5 einfache Schutzmaßnahmen, die ohne teure Zusatz-Apps für deutlich mehr Sicherheit sorgen. Ein kostenloser Schritt-für-Schritt-Ratgeber erklärt die wichtigsten Einstellungen verständlich und praxistauglich. Gratis-Sicherheitspaket für Android anfordern

Warum Browser zum Hauptziel werden

Die Häufung von Zero-Day-Angriffen auf Browser zeigt deren zentrale Rolle in der digitalen Bedrohungslandschaft. Als Tor zum Internet verarbeiten sie sensible Daten von Online-Banking bis zu Firmengeheimnissen.

Drive-by-Angriffe machen sie besonders gefährlich: Ein einziger Klick auf eine präparierte Website genügt für die Kompromittierung. Die spezielle Warnung vor Risiken für Kryptowährungs-Wallets verdeutlicht die unmittelbaren finanziellen Gefahren.

Der Wettlauf zwischen Angreifern und Verteidigern wird sich weiter verschärfen. Moderne Browser-Features wie WebAssembly erweitern die Angriffsfläche kontinuierlich. Automatische Updates sind längst keine Option mehr – sie sind überlebenswichtig.