Im Mai 2025 wurde eine schwerwiegende Sicherheitslücke im Google Chrome Browser bekannt, die erhebliche Risiken für die Datensicherheit von Nutzern mit sich bringt. Die Schwachstelle betrifft eine unzureichende Durchsetzung der Referrer-Policy im sogenannten Loader-Modul von Chrome. Dadurch kann ein Angreifer potenziell sensible Informationen aus anderen Ursprüngen (Cross-Origin) auslesen, was besonders problematisch für den Schutz von personenbezogenen Daten und vertraulichen Benutzerinformationen ist. Die Sicherheitslücke wird unter der Kennung CVE-2025-4664 geführt und erhielt von Google einen CVSS-Schweregrad von 4.3.
Obwohl diese Bewertung auf den ersten Blick moderat erscheint, wurde bestätigt, dass bereits aktive Exploits im Umlauf sind, die gezielt diese Schwachstelle ausnutzen. Die Bedeutung der schnellen Reaktion ist daher umso größer, da ein erfolgreicher Angriff zum Datenverlust oder sogar zur vollständigen Übernahme von Benutzerkonten führen kann. Verantwortlich für die Entdeckung dieser Lücke ist der bekannte IT-Sicherheitsexperte Vsevolod Kokorin, der auf der Plattform X (ehemals Twitter) detaillierte Einblicke zu den Mechanismen der Schwachstelle und möglichen Angriffsszenarien lieferte. Er machte auf die besondere Rolle der Link-Header aufmerksam, die bei Sub-Resource-Anfragen in Chrome aufgelöst werden – ein Verhalten, das sich von anderen gängigen Browsern unterscheidet. Speziell kann die Link-Header-Komponente die Referrer-Policy beeinflussen und zwar so, dass die unsichere Einstellung "unsafe-url" gesetzt wird.
Diese Einstellung führt dazu, dass sämtliche URL-Abfrageparameter zusammen mit dem Referrer übertragen werden, was sensible Daten für Angreifer offenlegt. In der Praxis bedeutet dies, dass Webseitendaten, die eigentlich nur innerhalb eines sicheren Kontexts bleiben sollten, beim Laden von Ressourcen von Drittanbietern mitgeschickt werden. Dadurch können Angreifer durch den Einbau einer eigens gestalteten Bilddatei oder anderer eingebundener Elemente diese Daten abgreifen, was einen schweren Verstoß gegen viele Datenschutzvorgaben darstellt. Die Gefahr eines Cross-Origin Data Leaks ist insbesondere deshalb so erheblich, weil Nutzer oft in URLs unterschiedliche Authentifizierungs- oder andere vertrauliche Parameter übergeben, die bislang vertraulich behandelt wurden. Die Weitergabe solcher Daten über die Referrer-Policy eröffnet somit Türen für nicht autorisierte Zugriffe und kann letztlich zu Account-Übernahmen oder zum Diebstahl privater Informationen führen.
Diese Sicherheitslücke unterscheidet sich von anderen bekannten Schwachstellen dadurch, dass sie im technischen Unterbau des Browsers verankert ist und nicht auf fehlerhafte Webanwendungen zurückzuführen ist. Damit ist eine besonders breite Nutzergruppe betroffen, da die meisten Internetanwender auf Chrome oder Chromium-basierte Browser wie Microsoft Edge, Brave, Opera oder Vivaldi setzen. Google hat schnell reagiert und Updates für Chrome veröffentlicht, die speziell die Versionen ab 136.0.7103.
113 auf Windows, Mac und Linux schützen. Es ist dringend zu empfehlen, dass Nutzer ihre Browser unmittelbar aktualisieren, um das Risiko einer Kompromittierung zu minimieren. Neben dem Handeln einzelner Nutzer hat auch die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) reagiert: Sie hat CVE-2025-4664 in ihren Katalog der „Known Exploited Vulnerabilities“ aufgenommen und fordert Bundesbehörden auf, die Sicherheitsupdates bis spätestens 5. Juni 2025 zu installieren. Mit solch einer Maßnahme unterstreicht die Behörde die Bedeutung des Problems und setzt einen verbindlichen Rahmen für den Schutz kritischer Infrastrukturen.
In einem größeren Kontext zeigt diese Schwachstelle, wie komplex Websicherheit heutzutage geworden ist. Browser sind längst nicht mehr nur einfache Programme zum Surfen, sondern hochkomplexe Plattformen, die unzählige Funktionen und Schnittstellen bereitstellen. Die Herausforderung für Entwickler besteht darin, einerseits eine nahtlose Benutzererfahrung zu gewährleisten und gleichzeitig Schutzmechanismen gegen eine immer raffiniertere Angriffslandschaft zu bieten. Angreifer nutzen zunehmend technisches Detailwissen, um Lücken auszunutzen, die auf den ersten Blick unscheinbar erscheinen. Das Beispiel der Loader Referrer Policy macht deutlich, wie sich Sicherheitsprobleme auch aus kleinen, konzeptionellen Fehlern ableiten können.
Für Unternehmen und Entwickler von Webanwendungen bedeutet dies eine erhöhte Verantwortung. Sie müssen nicht nur ihre eigenen Systeme regelmäßig überprüfen und absichern, sondern auch die Browserumgebungen, in denen ihre Anwendungen laufen, im Blick behalten. Eine enge Zusammenarbeit mit Browserherstellern und das rasche Einspielen von Sicherheitsupdates ist unabdingbar. Auch Nutzer spielen eine entscheidende Rolle im Schutz vor solchen Angriffen. Regelmäßige Updates und die Nutzung von sicheren, aktuellen Browserversionen sind die Grundlage, um die Gefahr von Datenlecks zu reduzieren.
Darüber hinaus sollten sensible Daten möglichst nie über URL-Parameter übergeben werden, wenn es sich vermeiden lässt. Alternative Verfahren zur Authentifizierung und Datenspeicherung bieten zusätzliche Sicherheit. Es ist außerdem ratsam, den Umgang mit Drittanbieter-Ressourcen kritisch zu prüfen und nur vertrauenswürdige Inhalte in Webprojekte einzubinden. Die Sicherheitslücke rund um CVE-2025-4664 zeigt exemplarisch, dass selbst renommierte Software wie Google Chrome nicht vor Schwachstellen geschützt ist. Gleichzeitig verdeutlicht sie, wie wichtig eine proaktive Sicherheitskultur in der IT-Welt ist – von Entwicklern über Unternehmen bis hin zu Endanwendern.
Die digitale Sicherheit bleibt ein ständig wandelndes Feld, das erhöhte Aufmerksamkeit und fortlaufende Innovation erfordert. Der Fall erinnert auch daran, dass eine umfassende Absicherung mehrschichtig sein muss – neben Firewalls, Antivirenprogrammen und Nutzerschulungen auch durch behutsame technische Mechanismen und eine strikte Update-Strategie. Abschließend verdeutlicht die Entdeckung und die rasche Behebung der Chrome Vulnerability die Rolle der zivilen Sicherheitsforschung als unverzichtbaren Bestandteil der globalen Cyberabwehr. Sicherheitsexperten wie Vsevolod Kokorin leisten einen wichtigen Beitrag, indem sie Schwachstellen aufdecken und veröffentlichen, noch bevor große Schäden entstehen können. Daher ist es für Organisationen jeder Größenordnung essenziell, dem Thema Sicherheitsupdates höchste Priorität einzuräumen und technische Entwicklungen langfristig zu beobachten.
Nur so kann das Surfen im Internet weiterhin sicher und vertrauenswürdig gestaltet werden – trotz der immer cleverer werdenden Bedrohungen.
