Google hat erneut eine wichtige Sicherheitsmaßnahme eingeführt und eine kritische Schwachstelle im Chrome-Webbrowser behoben. Der Konzern reagierte zügig auf Berichte über einen bereits im Internet öffentlich verfügbaren Exploit, mit dem Angreifer potenziell komplette Konten übernehmen können. Diese Sicherheitslücke, die unter der Bezeichnung CVE-2025-4664 bekannt ist, führte zu einer weit verbreiteten Besorgnis innerhalb der IT- und Sicherheitsgemeinschaften und birgt ernsthafte Gefahren für Einzelpersonen und Organisationen gleichermaßen. Die Schwachstelle wurde vom Sicherheitsexperten Vsevolod Kokorin von Solidlab entdeckt und betrifft den sogenannten Loader-Komponentenmechanismus von Google Chrome. Konkret handelt es sich um eine unzureichende Durchsetzung von Richtlinien, durch die Schadakteure über ausgenutzte HTML-Seiten auf Daten zugreifen können, die eigentlich durch Cross-Origin-Regeln geschützt sind.
Cross-Origin-Schutzmechanismen sind essenziell, um zu verhindern, dass Webseiten unautorisierten Zugriff auf Daten anderer Domains erhalten. Die Umgehung dieses Schutzes ist besonders gefährlich. Ein Kernproblem liegt im Umgang mit dem Link-Header und der dadurch gesteuerten Referrer-Policy. Chrome verweist, anders als viele andere Browser, auch bei Subressourcen-Anfragen den Link-Header weiter. Das ermöglicht Angreifern, gezielt eine unsichere Referrer-Policy wie „unsafe-url“ zu setzen, um vollständige URL-Parameter zu erhalten, darunter auch sensible Informationen wie OAuth-Zugangstoken.
Da OAuth-Token häufig in URL-Parametern bei Authentifizierungsprozessen auftauchen, kann der Diebstahl solcher Daten die Übernahme von Nutzerkonten ermöglichen – je nach Anwendung und Sicherheitskonfiguration sagt man hier oft auch „Account Takeover“. Die Tragweite dieser Sicherheitslücke wird durch die Tatsache verstärkt, dass viele Entwickler sich der Gefahr nicht bewusst sind, dass sensible Query-Parameter über Ressourcen wie Bilder einer dritten Partei abgefangen werden könnten. Solche unscheinbaren Ressourcenanfragen können daher zum Schwachpunkt werden, wenn Browser nicht strikt genug zwischengeschaltet kontrollieren. Google hat unverzüglich reagiert und ein Sicherheitsupdate für seine Chrome-Stable-Version bereitgestellt. Die Version 136.
0.7103.113 für Windows und Linux sowie 136.0.7103.
114 für macOS enthalten den Patch, der den Exploit unterbindet. Nutzer werden dringend aufgefordert, ihre Browser umgehend zu aktualisieren, um sich vor möglichen Angriffen zu schützen. Dabei reicht es, die integrierte Update-Funktion von Chrome zu nutzen, die in der Regel auf eine neue Version hinweist oder diese automatisch installiert. Obwohl aktuell noch keine bekannten Angriffe durch die Ausnutzung dieser Schwachstelle dokumentiert sind, warnt Google davor, dass der bereits öffentlich vorhandene Exploit das Risiko für aktive Angriffe signifikant erhöht. Die öffentliche Verfügbarkeit von Exploits ist regelmäßig ein Indikator für die steigende Bedrohungslage, da damit weniger versierte Angreifer schnell zugreifen und größere Nutzergruppen gefährden können.
Die Behebung dieser Lücke reiht sich ein in eine Serie von sicherheitskritischen Maßnahmen, die Google seit Beginn des Jahres verstärkt umsetzt. Bereits im März wurde mit dem Patch für die Zero-Day-Schwachstelle CVE-2025-2783 eine weitere hochgefährliche Sicherheitslücke geschlossen. Diese wurde von Kaspersky-Forschern identifiziert und von Angreifern gezielt genutzt, um Malware in Form von Spionageangriffen, insbesondere gegen russische Regierungsstellen, Medienhäuser und Bildungseinrichtungen, zu verbreiten. Auch hier wurde der Chrome-Sandbox-Schutzmechanismus umgangen, um auf Systeme der Opfer Zugriff zu erhalten. Das Unternehmen zeigt damit, wie exponiert und damit auch angreifbar Browser als zentrale Zugangsstellen im digitalen Alltag sind.
Sie vereinen unzählige Dienste, ermöglichen den Zugriff auf persönliche wie berufliche Daten und sind damit für Cyberkriminelle ein hoch interessantes Angriffsziel. Die rasche Entwicklung und der oftmals aggressive Einsatz von Exploits stellen eine dauerhafte Herausforderung für Softwarehersteller und Anwender dar. Für Anwender und IT-Verantwortliche bedeutet dies vor allem eines: regelmässige, zeitnahe Updates sind unverzichtbar, um Sicherheit zu gewährleisten. Die Zeiten manueller Patch-Management-Prozesse, die aufwändig und fehleranfällig sind, sollten durch automatisierte Lösungen ersetzt werden. Moderne Werkzeuge helfen dabei, Schwachstellen schneller zu erkennen, Updates konsistent einzuspielen und so die Angriffsflächen zu minimieren.
Gerade Unternehmen, die Chrome als Standardbrowser einsetzen, sollten die Sicherheitsupdates zentral überwachen und sicherstellen, dass alle Endnutzer die gesicherte Version verwenden. Auch Nutzer im privaten Umfeld profitieren von der aktiven Aktualisierung, da Cyberkriminelle weiterhin verstärkt versuchen, über Schwachstellen an sensible Informationen zu gelangen. Neben der technischen Seite spielen aber auch Bewusstsein und Schulung eine wichtige Rolle. Nutzer sollten sich über Gefahren wie Phishing, manipulierte Webseiten oder die Bedeutung von sicheren Authentifizierungsmechanismen informieren. Sicherheitsbewusstes Verhalten ist ein wesentlicher Teil der Verteidigungskette.
Die aktuelle Sicherheitslücke zeigt eindrücklich, dass selbst weit verbreitete und hochentwickelte Browser wie Google Chrome nicht frei von Schwachstellen sind. Die Öffnung und Offenlegung von Exploits durch Sicherheitsforscher hilft dabei, Risiken frühzeitig zu identifizieren und zu beheben. Gleichzeitig aber fordert es auch die Anwender auf, wachsam zu sein und technische Updates nicht zu vernachlässigen. Zusammenfassend ist die geschlossene Chrome-Schwachstelle CVE-2025-4664 ein weiterer Beleg dafür, wie wichtig es ist, Software ständig auf dem neuesten Stand zu halten. Der Schutz sensibler Daten und die Verhinderung von Account-Übernahmen sind entscheidende Faktoren in einer Welt, in der digitale Kommunikation und Online-Dienste immer mehr an Bedeutung gewinnen.
Nutzer sollten daher unverzüglich das letzte Chrome-Update installieren, um die Sicherheit ihrer Webaktivitäten zu gewährleisten und sich vor möglichen Angriffen zu schützen. Die schnelle Reaktion von Google und die transparente Kommunikation bieten hier gute Voraussetzungen, die Bedrohungen effektiv einzudämmen.
![Matt Mullenweg (WordPress) held in contempt and referred to US Attorney [pdf]](/images/5806348E-4578-462B-99F2-B1DA749CC249)
