Google Chrome steht erneut im Fokus der Sicherheitswarnungen: Der Technologieriese hat kürzlich ein wichtiges Sicherheitsupdate veröffentlicht, welches mehrere kritische Schwachstellen behebt. Besonders alarmierend ist dabei die kritische Sicherheitslücke CVE-2025-6558, die von Angreifern bereits aktiv ausgenutzt wird, um die Sandbox-Isolierung des Browsers zu umgehen und so potenziell Schadcode auszuführen. In diesem Artikel erfahren Sie detailliert, was es mit dieser Sicherheitslücke auf sich hat, wie der Angriff abläuft, welche Gefahren akut bestehen und wie Sie sich schützen können.
Hintergrund: Chrome Sicherheitsupdate im Juni 2025
Google Chrome ist einer der weltweit am meisten genutzten Webbrowser und stellt daher ein häufiges Ziel für Cyberangriffe dar. Chrome arbeitet mit einer streng kontrollierten Sandbox-Architektur, die einzelne Browserprozesse voneinander und vom Betriebssystem isoliert, um Sicherheit zu gewährleisten und die Ausbreitung von Schadsoftware zu verhindern. Die jüngst gefundene Sicherheitslücke erlaubt allerdings einer Angriffsmethode, genau diese Schutzmechanismen zu durchdringen und aus der Sandbox auszubrechen.
Am 23. Juni 2025 entdeckte die Threat Analysis Group (TAG) von Google eine schwerwiegende Schwachstelle im Chrome-Browser, die unter der Kennung CVE-2025-6558 geführt wird. Dieser Fehler wurde mit einer hohen Gefährdungsbewertung von 8,8 (auf einer Skala von 1 bis 10) klassifiziert und betrifft alle Chrome-Versionen vor 138.0.7204.157. Google hat unverzüglich reagiert und ein Sicherheitsupdate bereitgestellt, welches diese und weitere Schwachstellen behebt.
Die Schwachstelle im Detail: Insuffiziente Validierung in ANGLE und GPU-Prozessen
Die zentrale Schwachstelle liegt in der Komponente ANGLE (Almost Native Graphics Layer Engine), einer Open-Source-Grafikabstraktionsschicht, die in Chrome verwendet wird. Dieses Modul übersetzt Grafikbefehle (OpenGL ES API Calls) in plattformspezifische APIs wie Direct3D, Metal, Vulkan oder OpenGL. Der Grund, warum ANGLE in die Fokuslinie von Hackern geriet, ist die Behandlung von GPU-Befehlen aus unzuverlässigen Quellen, insbesondere aus dem Internet, z.B. WebGL-Websites.
Das Problem betrifft eine unzureichende Validierung von untrusted Input, welcher in der GPU-Engine verarbeitet wird. Konkret bedeutet das: Angreifer können speziell präparierte HTML-Seiten erstellen, die Schwachstellen in ANGLE und der GPU-Prozesslogik ausnutzen, um schädlichen Code innerhalb des GPU-Prozesses auszuführen. Da der GPU-Prozess bislang durch die Sandbox geschützt war, stellt ein erfolgreicher Angriff einen sogenannten Sandbox Escape dar – das heißt, der Angreifer kann aus der Isolierung ausbrechen und weitreichende Zugriffe auf das System erlangen.
Google hat technisch noch nicht alle Details veröffentlicht, wie aus der Schwachstelle heraus ein Sandbox Escape möglich ist. Dies ist eine gängige Praxis, um Nutzern und Systemadministratoren genug Zeit zur Installation der Updates zu geben, bevor die genaue Angriffsmechanik öffentlich bekannt wird. Die Angriffsvektoren erfordern nur das Besuchen einer entsprechend manipulierten Webseite, was die Gefährdungslage massiv verschärft.
Warum ist ANGLE für die Sicherheit von Chrome so wichtig?
Das Projekt ANGLE ist eine Schlüsselkomponente von Chrome, denn es sorgt für einen reibungslosen Betrieb grafischer Webanwendungen durch Hardware-Beschleunigung. Durch die Übersetzung der OpenGL ES-Befehle in unterschiedliche Grafik-APIs können Webseiten leistungsfähige Grafik- und Multimedia-Inhalte plattformübergreifend darstellen.
Da ANGLE GPU-Kommandos von Websites verarbeitet, ist das Risiko, dass fehlerhafte Eingaben aus fremden Quellen zum Exploit werden können, besonders hoch. Ein Fehler in der Verarbeitung von Grafikbefehlen könnte, wie hier demonstriert, die sichere Sandboxing-Architektur des Browsers unterlaufen. Daraus ergibt sich das geforderte Sicherheitsupdate, welches diese fehlerhafte Eingabevalidierung korrigiert.
Neben der kritischen Sicherheitslücke CVE-2025-6558: Weitere Schwachstellen im Chrome-Browser
Das aktuelle Sicherheitsupdate für Chrome adressiert nicht nur die kritische ANGLE-Schwachstelle, sondern auch insgesamt fünf weitere Vulnerabilitäten:
- Eine hochkritische Lücke im V8 JavaScript Engine (CVE-2025-7656), die das Ausführen von beliebigem Code erlauben kann.
- Ein Use-after-free Fehler in WebRTC (CVE-2025-7657), welcher potenziell Speicherfehler ausnutzt.
- Drei weitere Schwachstellen, deren technische Details und Ausnutzung bislang unklar sind.
Keines dieser fünf weiteren Sicherheitsprobleme wurde bislang als aktiv ausgenutzt gemeldet. Trotzdem empfiehlt Google dringend, die vorliegenden Updates für alle Chrome-Versionen einzuspielen, um das Schutzniveau zu erhöhen.
CVE-2025-6558: Fünfter aktiver Zero-Day Exploit in 2025
Bemerkenswert ist, dass kritische Sicherheitslücke CVE-2025-6558 der fünfte Zero-Day-Exploit ist, der in diesem Jahr in Google Chrome gefixt wurde. Bereits in den Monaten zuvor wurden mehrere schwere Sicherheitslücken entdeckt und beseitigt, teils unter aktiver Ausnutzung durch gezielte Angriffe:
- Im März 2025 wurde eine Sandbox Escape Schwachstelle gefixt, die in Spionageaktionen gegen russische Regierungsstellen verwendet wurde.
- Im Mai schloss Google eine Zero-Day-Lücke, mit der Angreifer Konten kapern konnten.
- Im Juni folgten zwei weitere Zero-Days im V8 JavaScript Engine.
Diese Häufung von Zero-Day-Schwachstellen zeigt die große Aufmerksamkeit, mit der Chrome von Angreifern beobachtet wird – sowohl von Sicherheitsexperten als auch von böswilligen Akteuren.
So schützen Sie sich: Update auf Chrome 138.0.7204.157/.158
Wer Chrome als Hauptbrowser nutzt, sollte prüfen, ob bereits die neuste Version installiert ist. Die Aktualisierung ist unkompliziert und sollte umgehend durchgeführt werden, um sich vor Angriffen zu schützen:
- Öffnen Sie Chrome und geben Sie in die Adresszeile
chrome://settings/helpein. - Chrome prüft automatisch, ob ein Update verfügbar ist.
- Falls ja, wird das Update heruntergeladen und nach einem Browser-Neustart angewendet.
- Sie können die installierte Version anschließend unter dem gleichen Menüpunkt überprüfen.
Da die Sicherheitslücke aktiv ausgenutzt wird, ist es ratsam, nicht mit dem Update zu zögern. Auch Organisationen und Unternehmen sollten ihre IT-Abteilungen informieren und gegebenenfalls automatische Softwareverteilungssysteme einsetzen, um das Update schnell auszurollen.
Warum Updates gerade bei Browser-Sicherheitslücken so wichtig sind
Browser sind das Tor zum Internet und somit besonders wertvolle Angriffspunkte. Eine kompromittierte Sandbox bedeutet, dass Schadcode auf das zugrunde liegende Betriebssystem zugreifen kann – mit teils gravierenden Folgen für Datenschutz, Unternehmenssicherheit und persönliche Computer.
Die schnelle Reaktion von Google zeigt, wie wichtig zeitnahe Updates sind. Nutzer werden aufgefordert, Software-Patches nicht aufzuschieben, da Angreifer stets versuchen, bekannte Schwachstellen auszunutzen, sobald sie öffentlich werden.
Fazit: Sicherheit durch schnelle Aktualisierung und Awareness
Das aktuelle Chrome Sicherheitsupdate zur Behebung der kritischen Sicherheitslücke CVE-2025-6558 und weiterer Schwachstellen ist ein Weckruf für alle Nutzer. Die Gefahr von Sandbox Escapes ist real und betrifft eine der zentralen Sicherheitsarchitekturen eines der meistgenutzten Webbrowser weltweit.
Als Managed Service Provider empfehlen wir, Updates umgehend einzuspielen und das Bewusstsein für sichere Browser-Nutzung in Organisationen zu stärken. Zudem sollte ein sicheres Browsing-Verhalten und die Verwendung von zusätzlichen Sicherheitslösungen wie Antivirus und Webfilterungen stets mitgedacht werden.
Mit dieser proaktiven Haltung lassen sich Risiken minimieren und die grundsätzliche Sicherheit im Web-Browsing deutlich erhöhen. Verpassen Sie nicht das Update Ihrer Chrome-Version auf mindestens 138.0.7204.157 und schützen Sie Ihre Daten effektiv vor potenziellen Angriffen durch die neu entdeckte Sicherheitslücke im ANGLE-GPU-Subsystem.
Neueste Kommentare