Exploit-Welle zwingt Unternehmen zum schnellen Update
Google stopft eine aktiv ausgenutzte Chrome-Schwachstelle

Google verteilt ein sicherheitsrelevantes Update für Chrome im Stable Channel. Die Version 143.0.7499.109 schließt mehrere Schwachstellen im Desktop-Browser. Eine Speicherlücke in ANGLE (CVE‑2025‑14174) wird bereits aktiv für Angriffe genutzt und erhöht das Risiko bei Webzugriffen erheblich.

Chrome 143.0.7499.109 schließt die aktiv ausgenutzte ANGLE-Schwachstelle CVE‑2025‑14174 sowie Fehler im Passwort-Manager und in der Toolbar; Unternehmen sollten sofort patchen.(Bild: Midjourney / KI-generiert) Chrome 143.0.7499.109 schließt die aktiv ausgenutzte ANGLE-Schwachstelle CVE‑2025‑14174 sowie Fehler im Passwort-Manager und in der Toolbar; Unternehmen sollten sofort patchen.

(Bild: Midjourney / KI-generiert)

Der Stable Channel von Google Chrome erhält im Dezember 2025 ein sicherheitsrelevantes Update für Windows, macOS und Linux. Die Version 143.0.7499.109 adressiert mehrere Schwachstellen im Browserkern und in integrierten Komponenten. Eine der behobenen Lücken steht bereits im Fokus aktiver Angriffe und erhöht den Handlungsdruck in Unternehmensumgebungen deutlich.

Drei Sicherheitskorrekturen für Chrome

Die Aktualisierung umfasst drei sicherheitsrelevante Korrekturen, die externe Sicherheitsforscher gemeldet haben. Im Mittelpunkt steht ein Fehler in der Grafikabstraktionsschicht ANGLE, der einen Out-of-Bounds-Zugriff auf Speicherbereiche erlaubt. Diese Schwachstelle mit der Kennung CVE-2025-14174 erlaubt unter geeigneten Bedingungen die Manipulation von Speicherinhalten. Apple Security Engineering and Architecture sowie die Google Threat Analysis Group melden den Fehler Anfang Dezember 2025. Google bestätigt, dass bereits funktionierende Exploits im Umlauf sind, was auf gezielte Angriffe über präparierte Webinhalte hindeutet.

Google warnt vor einer kritischen Looker-Lücke in der Cloud und aktiv ausgenutzten Chrome-Schwachstellen, über die Angreifer Konten übernehmen oder Schadcode ausführen können. (Bild: Dall-E / KI-generiert)

ANGLE dient als Übersetzungsschicht für Grafikaufrufe und verbindet WebGL mit nativen Grafik-APIs. Fehler in diesem Bereich betreffen eine zentrale Angriffsfläche, da die Verarbeitung komplexer Shader und Grafikdaten aus nicht vertrauenswürdigen Quellen erfolgt. Ein erfolgreicher Angriff kann den Browserprozess kompromittieren und bildet in Kombination mit weiteren Schwachstellen eine Grundlage für weitergehende Angriffe auf das System.

Fehler im Passwort-Manager in Chrome

Neben der aktiv ausgenutzten Lücke schließt das Update zwei weitere Schwachstellen mit mittlerer Bewertung. Eine Use-after-free-Problematik im integrierten Passwort-Manager mit der Kennung CVE-2025-14372 erlaubt unter bestimmten Bedingungen den Zugriff auf bereits freigegebene Speicherbereiche. Eine weitere Korrektur betrifft die Toolbar-Komponente und behebt eine fehlerhafte Implementierung unter CVE-2025-14373, die zu unerwartetem Verhalten im UI-Kontext führt.

Google hält Detailinformationen zu einzelnen Fehlern vorübergehend zurück, um die Verbreitung aktiver Angriffe zu begrenzen, bis ein Großteil der Installationen aktualisiert ist. Angesichts der bestätigten Ausnutzung von CVE-2025-14174 gilt das Update als sicherheitskritisch. In verwalteten Umgebungen sollte die Verteilung der neuen Version priorisiert erfolgen, um die Angriffsfläche im Webzugriff zeitnah zu reduzieren.

Für das Auffinden und Melden von Sicherheitslücken zahlen Hersteller von Software eine Menge Geld – auch Google. (Bild: RomanR - stock.adobe.com)

(ID:50663075)