Google hat kürzlich ein wichtiges Sicherheitsupdate für den Chrome-Webbrowser veröffentlicht, das vier Sicherheitslücken schließt – darunter die kritische Sicherheitslücke CVE-2025-4664, die bereits aktiv ausgenutzt wird. In diesem Artikel analysieren wir die Einzelheiten der kritischen Sicherheitslücke CVE-2025-4664, die durch unzureichende Durchsetzung von Richtlinien in einem Chrome-Komponenten namens „Loader“ entsteht, und erklären, was das für Nutzer von Google Chrome und anderen Chromium-basierten Browsern bedeutet.
Kritische Sicherheitslücke CVE-2025-4664: Was steckt dahinter?
Die Schwachstelle CVE-2025-4664 wurde von dem Sicherheitsexperten Vsevolod Kokorin entdeckt und am 5. Mai 2025 öffentlich gemacht. Die Sicherheitslücke ist eine Form von „insufficient policy enforcement“ – also unzureichende Richtlinienkontrolle – in der Komponente Loader des Chrome-Browsers. Durch diese Lücke können Angreifer mithilfe einer speziell präparierten HTML-Seite sensible Daten aus einer fremden Herkunft (Cross-Origin) abgreifen.
Technische Details zur Schwachstelle
Chrome verarbeitet im Vergleich zu anderen Browsern den sogenannten Link-Header bei Unterressourcenanforderungen (Subresource Requests) anders. Konkret erlaubt dieser Header, eine sogenannte Referrer-Policy zu setzen, die regelt, welche Referrer-Informationen beim Laden von Ressourcen übermittelt werden. Die Schwachstelle besteht darin, dass Angreifer mithilfe eines manipulierten Link-Headers die Referrer-Policy auf „unsafe-url“ setzen können.
Diese Einstellung führt dazu, dass die vollständige URL inklusive aller Query-Parameter als Referrer übertragen wird. Da Query-Parameter oft sensible Informationen enthalten – beispielsweise Tokens, Session-IDs oder andere sicherheitsrelevante Daten – können Angreifer diese Daten auslesen, wenn sie die Anfragen an Dritte (z.B. eingebettete Bilder) weiterleiten.
Dadurch öffnet sich das Tor für potenzielle Datenlecks, die unter anderem zu einem vollständigen Account-Übernahme führen können. Der Angriff lässt sich über eingebettete Bilder oder andere Subressourcen einer bösartigen Webseite realisieren, auf die der Benutzer beim Surfen stößt.
Exploit in freier Wildbahn
Google betont, dass für die kritische Sicherheitslücke CVE-2025-4664 bereits Exploits in der „freien Wildbahn“ existieren. Das bedeutet, dass Angreifer die Sicherheitslücke aktiv ausnutzen und damit reale Bedrohungen für Nutzer des Chrome-Browsers bestehen. Sicherheitslücken mit aktiven Exploit-Varianten gelten bei Experten als besonders gefährlich, da sie ein unmittelbares Risiko darstellen.
CVE-2025-4664 reiht sich damit als zweite Schwachstelle nach einer bereits bekannten Sicherheitslücke ein, die gegenwärtig in der Praxis ausgenutzt werden. Nutzer sollten diese Warnung ernst nehmen und schnell handeln.
Betroffene Browserversionen und empfohlene Updates
Die Schwachstelle betrifft alle Chrome-Versionen vor 136.0.7103.113. Google hat Patches veröffentlicht, die das Problem beheben:
- Chrome Version 136.0.7103.113 sowie 136.0.7103.114 für Windows und Mac
- Chrome Version 136.0.7103.113 für Linux
Alle Nutzer sollten umgehend ein Update auf diese Versionen vornehmen, um sich vor dem Missbrauch zu schützen. Besonders empfehlenswert ist das Update, da Angriffe bereits in freier Wildbahn bestätigt wurden und die Schwachstelle keine theoretische Gefahr mehr darstellt.
Updates für andere Chromium-basierte Browser
Da die Schwachstelle im Chromium-Framework liegt, sind auch andere Browser betroffen, die auf Chromium basieren. Dazu gehören beispielsweise:
- Microsoft Edge
- Brave
- Opera
- Vivaldi
Nutzer dieser Browser sollten ebenfalls zeitnah ihre Anwendungen aktualisieren, sobald die jeweiligen Entwickler Updates bereitstellen, um sich vor ähnlichen Angriffen zu schützen.
Was bedeutet das für Benutzer und Unternehmen?
Diese Sicherheitslücke verdeutlicht die anhaltende Bedeutung von zeitnahen Updates und Patch-Management sowohl für Privatanwender als auch für Unternehmen. Sicherheitsprobleme, die im Browser auftreten, können direkte Auswirkungen auf den Schutz von sensiblen Daten haben, denn Webbrowser sind das primäre Tor ins Internet.
Privatanwender
Benutzer sollten regelmäßige Updates ihres Browsers selbstverständlich machen und dabei nicht auf Warnungen oder Hinweise verzichten. Gerade wenn ein Hersteller wie Google explizit auf eine aktive Bedrohung hinweist, spielt das Ausführen von Sicherheitsupdates eine entscheidende Rolle.
Unternehmen und IT-Abteilungen
Für Firmen bedeutet diese Meldung, ihre IT-Sicherheitsrichtlinien hinsichtlich Browsern und Endpoint-Schutzsystemen zu überprüfen. Browser-Updates sollten zentral gesteuert und zeitnah ausgerollt werden, um Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können. Außerdem ist die Überwachung auf Anzeichen von Angriffen und Datenabfluss in Netzwerken empfehlenswert.
Empfehlungen zur Vermeidung von Browser-Sicherheitsrisiken
Neben der Aktualisierung des Browsers sollten Nutzer und Unternehmen folgende Maßnahmen beachten:
- Regelmäßige Updates: Immer die neueste Version des Browsers installieren.
- Sicherheitsbewusstsein fördern: Mitarbeiter und Nutzer über Phishing und gefährliche Websites informieren.
- Browser-Erweiterungen kritisch prüfen: Nicht vertrauenswürdige Add-ons vermeiden, da sie Sicherheitslücken ausnutzen können.
- Sicherheitslösungen einsetzen: Antivirus-, Firewall- und Endpoint-Schutzprogramme verwenden, die auch Browserangriffe erkennen können.
- Monitoring und Incident Response: IT-Abteilungen sollten Browser-bezogene Vorfälle zeitnah analysieren und Gegenmaßnahmen ergreifen.
Fazit: Schnelles Handeln ist essenziell
Die aktuelle kritische Sicherheitslücke CVE-2025-4664 im Google Chrome Browser zeigt eindrücklich, wie wichtig das schnelle Einspielen von Sicherheitsupdates ist. Insbesondere, wenn Schwachstellen aktiv ausgenutzt werden, ist der Schutz sensibler Daten akut gefährdet. Die erkennbare Schwachstelle im Bereich der Referrer-Policy unterstreicht, wie komplex das Zusammenspiel verschiedener Browserkomponenten ist und wie hier Sicherheitsmechanismen versagen können.
Google hat mit dem Update bereits reagiert, und jetzt liegt es an den Nutzern, die Aktualisierung ihrer Systeme umzusetzen. Unternehmen sollten besonders wachsam sein, da Angriffe in der Praxis durchaus zu vollständigen Kontoübernahmen führen können.
Abschließend lässt sich sagen: Wer seinen Webbrowser sicher hält, schützt nicht nur seine eigenen Daten, sondern auch die Systeme seines Unternehmens vor Cyberangriffen.
Neueste Kommentare