Chrome, Windows

Chrome und Windows: Aktiv ausgenutzte Sicherheitslücken geschlossen

18.11.2025 - 14:20:12

Chrome und Windows: Aktiv ausgenutzte Sicherheitslücken geschlossen - Foto: über boerse-global.de
Chrome und Windows: Aktiv ausgenutzte Sicherheitslücken geschlossen - Foto: über boerse-global.de

Dienstag, 18. November 2025 – Die großen Tech-Konzerne schlagen Alarm: Google, Microsoft, Apple und Mozilla haben eine Welle kritischer Sicherheitsupdates veröffentlicht. Der Grund ist beunruhigend: Angreifer nutzen bereits zwei schwerwiegende Schwachstellen in Chrome und Windows aktiv aus. Experten fordern sofortiges Handeln.

Die Dringlichkeit ist beispiellos: Google musste zum siebten Mal in diesem Jahr eine Zero-Day-Lücke in Chrome notfallmäßig schließen. Microsoft flickte parallel 63 Sicherheitslücken, darunter eine bereits ausgenutzte Schwachstelle im Windows-Kernel. Was bedeutet das für Millionen Nutzer? Das Zeitfenster zwischen Angriff und Schutz wird immer kleiner – wer jetzt nicht aktualisiert, läuft Gefahr, zum Opfer von Cyberkriminellen oder staatlich unterstützten Hackern zu werden.

Die Bedrohung kam unerwartet: Am 12. November entdeckte Googles Threat Analysis Group eine kritische Schwachstelle in der JavaScript-Engine V8 des Chrome-Browsers. Die Lücke trägt die Kennung CVE-2025-13223 und ermöglicht Angreifern eine sogenannte “Type Confusion” – ein Fehler, der das Ausführen beliebigen Schadcodes erlaubt.

Besonders perfide: Ein Opfer muss lediglich eine präparierte Webseite besuchen. Google bestätigte, dass Angreifer die Schwachstelle bereits aktiv ausnutzen. Details zu den Tätern oder ihren Zielen hält der Konzern zurück, um Nutzern Zeit zum Patchen zu geben. Die TAG-Einheit, die üblicherweise staatlich finanzierte Hackergruppen verfolgt, war an der Entdeckung beteiligt – ein Hinweis auf hochentwickelte Angreifer.

Anzeige

Aktuell werden Zero‑Days in Browsern und Betriebssystemen aktiv ausgenutzt – oft reicht ein Klick auf eine manipulierte Webseite, um Schadcode auszuführen. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt praxisnah, welche kurzfristigen Schutzmaßnahmen jetzt helfen (Patch‑Management, Zugriffskontrollen, Backup‑Checks), wie Sie Ihre Systeme richtig härten und welche Prioritäten IT‑Verantwortliche sowie Privatanwender sofort setzen sollten. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Chrome-Nutzer sollten umgehend auf Version 142.0.7444.175/.176 (Windows), 142.0.7444.176 (Mac) oder 142.0.7444.175 (Linux) aktualisieren. Ein Neustart des Browsers reicht, um den Schutz zu aktivieren.

Windows-Kernel: Microsoft schließt aktiv ausgenutzte Lücke

Microsofts monatlicher “Patch Tuesday” fiel diesmal besonders umfangreich aus: 63 Sicherheitslücken wurden geschlossen, darunter die bereits ausgenutzte Schwachstelle CVE-2025-62215 im Windows-Kernel. Diese Privilege-Escalation-Lücke erlaubt Angreifern, die bereits begrenzten Zugang zu einem System haben, höchste Administratorrechte zu erlangen.

Microsoft stufte die Lücke als “wichtig” statt “kritisch” ein – doch das täuscht über die Gefahr hinweg. Warum? Solche Rechteausweitungen bilden oft die zweite Stufe ausgeklügelter Angriffsketten. Ein Beispiel: Ein Opfer öffnet eine Phishing-Mail, der Angreifer verschafft sich Basiszugang und nutzt dann die Kernel-Lücke für vollständige Systemkontrolle.

Das Microsoft Threat Intelligence Center (MSTIC) bestätigte die aktive Ausnutzung. Zusätzlich flickte Microsoft vier weitere kritische Schwachstellen, die Remote-Code-Ausführung ermöglichten. Alle Windows-Nutzer sollten die Updates über die Systemeinstellungen unverzüglich installieren.

Apple und Mozilla: Massive Sicherheitsupdates veröffentlicht

Apple verteilte zeitgleich umfangreiche Updates für sein gesamtes Produktportfolio. iOS 26.1, iPadOS 26.1, macOS Tahoe 26.1, watchOS 26.1 und Safari 26.1 schließen insgesamt bis zu 105 Sicherheitslücken – allein in macOS. Die Schwerpunkte liegen auf der WebKit-Browser-Engine und der Apple Neural Engine.

Obwohl Apple keine aktive Ausnutzung bestätigte, zeigt die schiere Anzahl der Patches die kontinuierliche Bedrohungslage. Viele der geschlossenen Lücken könnten bösartigen Apps ermöglichen, Systeme zum Absturz zu bringen, sensible Daten abzugreifen oder beliebigen Code auszuführen.

Mozilla veröffentlichte am 11. November Firefox Version 145 mit 16 Sicherheitsfixes. Acht davon stufte das Unternehmen als hochgradig gefährlich ein. Die kritischsten Schwachstellen sind Memory-Safety-Bugs (CVE-2025-13027), die entschlossene Angreifer für Remote-Code-Ausführung nutzen könnten. Weitere Lücken in WebGPU und JavaScript-Komponenten ermöglichen Sandbox-Ausbrüche – Schadcode könnte die Sicherheitsgrenzen des Browsers überwinden und auf das Betriebssystem zugreifen.

Der endlose Kampf gegen Zero-Days

Die koordinierte Patch-Welle offenbart eine beunruhigende Realität: Tech-Giganten liefern sich einen permanenten Wettlauf mit hochprofessionellen Angreifern. Browser und Betriebssysteme bleiben die wertvollsten Angriffsziele, da sie die Hauptzugänge zu Nutzerdaten und Unternehmensnetzwerken darstellen.

Die Beteiligung von Googles Threat Analysis Group legt nahe, dass die Chrome-Zero-Day von ressourcenstarken Gruppen eingesetzt wird – möglicherweise für Spionage oder hochwertige Wirtschaftskriminalität. Die Kombination aus Rechteausweitung (Windows) und Remote-Code-Ausführung (Chrome) zeigt exemplarisch, wie Angreifer mehrere Schwachstellen verketten, um vollständige Systemkompromittierung zu erreichen.

Memory-Safety-Bugs wie “Type Confusion” und “Use-After-Free” bleiben eine Achillesferse der Softwareindustrie. Diese Fehlerklassen, die sich durch sämtliche aktuellen Updates ziehen, lassen sich oft in zuverlässige Exploits umwandeln – ein Albtraum für Sicherheitsexperten.

Was Nutzer jetzt tun müssen

Die Entdeckung aktiv ausgenutzter Schwachstellen startet einen Wettlauf: Angreifer versuchen, ihre Malware möglichst schnell zu verbreiten, bevor Nutzer die Patches installieren. Das Zeitfenster schrumpft dramatisch, da Angriffswerkzeuge immer schneller nach Bekanntwerden von Lücken entwickelt werden.

Sofortmaßnahmen:

  • Chrome aktualisieren: Über “Hilfe” > “Über Google Chrome” das Update anstoßen und Browser neu starten
  • Windows patchen: Unter “Einstellungen” > “Update und Sicherheit” > “Windows Update” nach Updates suchen
  • Apple-Geräte updaten: iPhone/iPad via “Einstellungen” > “Allgemein” > “Softwareupdate”, Mac über “Systemeinstellungen” > “Allgemein” > “Softwareupdate”
  • Firefox aktualisieren: Über Menü > “Hilfe” > “Über Firefox” prüfen (normalerweise automatisch)

Automatische Updates zu aktivieren, ist die wirksamste Verteidigung gegen solche Bedrohungen. Angesichts wachsender Software-Komplexität und zunehmend raffinierter Angreifer ist zeitnahes Patchen keine Best Practice mehr – es ist überlebenswichtig für die digitale Sicherheit.

Anzeige

PS: Nutzen Sie Microsoft, Apple oder Browser wie Chrome/Firefox? Dieses kostenlose E‑Book zeigt in klaren Checklisten, wie Sie ohne hohe Investitionen grundlegende Abwehr gegen gezielte Angriffe aufbauen – von Update‑Strategien bis zu Phishing‑Prävention und einfachen Mitarbeiter‑Routinen. Ideal, um das Zeitfenster zwischen Entdeckung und Schutz zu schließen. Kostenfreies Cyber-Security-E‑Book anfordern

@ boerse-global.de
Die besten Black Friday Angebote für