Image: fz
Google hat ein Notfall-Update für seinen Browser Chrome 140 bereitgestellt. In den neuen Chrome-Versionen 140.0.7339.185/186 für Windows und macOS sowie 140.0.7339.185 für Linux haben die Entwickler mehrere Schwachstellen behoben. Laut Google wird eine der Lücken bereits für Angriffe ausgenutzt. Die Hersteller anderer Chromium-basierter Browser sollten möglichst in den kommenden Tagen nachziehen.
Im Chrome Release Blog führt Srinivas Sista die vier beseitigten Sicherheitslücken auf, von denen zwei durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Google stuft diese zwei Schwachstellen (CVE-2025-10500, -10501) als hohes Risiko ein. Es handelt sich um Use-after-free-Lücken in den Komponenten Dawn (WebGPU) und WebRTC. Ihre Entdecker erhalten Prämien in Höhe von 15.000 und 10.000 US-Dollar.
▶Die neuesten Sicherheits-Updates
Am Dienstag, 16. September, also an dem Tag, an dem dieses Chrome-Update freigegeben werden sollte, hat Googles Threat Analysis Group (TAG) Angriffe mittels einer bis dahin nicht bekannten Chromium-Schwachstelle (CVE-2025-10585) festgestellt und an die Kollegen gemeldet. Es handelt sich dabei um die soundsovielte Typ-Verwechslung in der Javascript-Engine V8. Sie ist als Schwachstelle mit hohem Risikopotenzial ausgewiesen – unabhängig davon, dass sie bereits für Angriffe genutzt wird. Wie verbreitet diese Angriffe sind, lässt Google offen.
Die vierte Sicherheitslücke (CVE-2025-10502) ist ebenfalls als hohes Risiko eingestuft und besteht in einem Pufferüberlauf in der WebGL-Implementierung Angle. Sie wurde durch Google Big Sleep entdeckt. Dabei handelt es sich um ein auf Gemini basierendes „KI“-Werkzeug zum Aufspüren von Sicherheitslücken. Es soll eigenständig, ohne menschliche Hilfe, Schwachstellen aufspüren. Dies ist bereits die dritte Lücke, die Big Sleep in Chrome gefunden hat.
▶Google schließt zwei 0-Day-Lücken in Android
Mit dem ersten Sicherheits-Update für Chrome 140 vor einer Woche hat Google eine als kritisch eingestufte Sicherheitslücke geschlossen. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen. Google hat auch Chrome für Android 140.0.7339.155 bereitgestellt. In der Android-Version sind die gleichen Schwachstellen beseitigt wie in den Desktop-Ausgaben. Der Extended Stable Channel für Windows und macOS enthält ebenfalls die Version 140.0.7339.186. Anfang Oktober will Google Chrome 141 freigeben.
Tipp: Unabhängig davon, dass Sie Ihren Browser stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC“ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, mit Updates nachzuziehen. Microsoft Edge und Brave haben den Wechsel auf Chromium 140 längst vollzogen und sind derzeit auf dem Sicherheitsstand der letzten Woche. Vivaldi steht kurz vor der Freigabe der neuen Version 7.6 mit Chromium 140: RC 3, der dritte Release Candidate, absolviert gerade die letzten Praxistests. Das Update auf die finale Fassung dürfte in Kürze folgen.
Opera hat mit seiner Browser-Version 122, die auf Chromium 138 basiert, vorerst zu Vivaldi aufgeschlossen. Die Opera-Entwickler haben zudem einige wichtige Sicherheits-Fixes rückportiert. Es bleiben jedoch einige offene Lücken mit unterschiedlichem Risikopotenzial, bei denen nicht in jedem Fall klar ist, ob sie Chromium 138 überhaupt betreffen.
Update 18. September – Vivaldi ist bereits abgesichert
Vivaldi hat heute die neue Browser-Version 7.6 auf Basis von Chromium 140 freigegeben. Vivaldis CEO Jon von Tetzchner nennt in seinem Blog-Beitrag (die englische Fassung enthält auch das Changelog) ausdrücklich die oben genannte 0-Day-Lücke CVE-2025-10585 sowie die in Vivaldi steckende Chromium-Version.
Update 19. September – Brave und Opera sind abgesichert
Brave hat wenige Stunden nach Vivaldi nachgezogen und ein Update auf die Browser-Version 1.82.170 bereitgestellt. Es behebt auch eine hausgemachte Schwachstelle in der Validierung von Hardware-Wallets. Operas Entwickler haben den Fix gegen die 0-Day-Lücke CVE-2025-10585 (siehe oben) auf Chromium 138 rückportiert, da Google diese Chromium-Version nicht mehr mit Updates pflegt.
Update 20. September – auch Edge ist abgesichert
Dafür, dass es um eine Schwachstelle geht, die offenbar bereits ausgenutzt wird, hat sich Microsoft mit dem Update relativ viel Zeit gelassen. Zumal der erforderliche Aufwand überschaubar gewesen sein dürfte. Doch nachdem es im Rest der Welt (außer in Amerika) bereits Wochenende war, kam schließlich das Update auf Edge 140.0.3485.81 – und nur wenige Stunden später auch die Release Note dazu. Microsoft setzt bei Edge wie Google und Brave auf Chromium 140.0.7339.186.
Chromium-basierte Browser in der Übersicht:
| Browser | Version | Chromium-Version | abgesichert? |
|---|---|---|---|
| Google Chrome ↓ | 140.0.7339.186 | 140.0.7339.186 | 🟢 |
| Brave ↓ | 1.82.170 | 140.0.7339.186 | 🟢 |
| Microsoft Edge | 140.0.3485.81 | 140.0.7339.186 | 🟢 |
| Opera One ↓ | 122.0.5643.51 | 138.0.7204.251 * | 🟡 |
| Vivaldi ↓ | 7.6.3797.52 | 140.0.7339.202 | 🟢 |
* + Patch gegen CVE-2025-10585 (0-Day)
Autor: Frank Ziemann, Autor, PC-WELT
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.
Image: fz
Google hat ein Notfall-Update für seinen Browser Chrome 140 bereitgestellt. In den neuen Chrome-Versionen 140.0.7339.185/186 für Windows und macOS sowie 140.0.7339.185 für Linux haben die Entwickler mehrere Schwachstellen behoben. Laut Google wird eine der Lücken bereits für Angriffe ausgenutzt. Die Hersteller anderer Chromium-basierter Browser sollten möglichst in den kommenden Tagen nachziehen.
Im Chrome Release Blog führt Srinivas Sista die vier beseitigten Sicherheitslücken auf, von denen zwei durch externe Sicherheitsforscher entdeckt und an Google gemeldet worden sind. Google stuft diese zwei Schwachstellen (CVE-2025-10500, -10501) als hohes Risiko ein. Es handelt sich um Use-after-free-Lücken in den Komponenten Dawn (WebGPU) und WebRTC. Ihre Entdecker erhalten Prämien in Höhe von 15.000 und 10.000 US-Dollar.
▶Die neuesten Sicherheits-Updates
Am Dienstag, 16. September, also an dem Tag, an dem dieses Chrome-Update freigegeben werden sollte, hat Googles Threat Analysis Group (TAG) Angriffe mittels einer bis dahin nicht bekannten Chromium-Schwachstelle (CVE-2025-10585) festgestellt und an die Kollegen gemeldet. Es handelt sich dabei um die soundsovielte Typ-Verwechslung in der Javascript-Engine V8. Sie ist als Schwachstelle mit hohem Risikopotenzial ausgewiesen – unabhängig davon, dass sie bereits für Angriffe genutzt wird. Wie verbreitet diese Angriffe sind, lässt Google offen.
Die vierte Sicherheitslücke (CVE-2025-10502) ist ebenfalls als hohes Risiko eingestuft und besteht in einem Pufferüberlauf in der WebGL-Implementierung Angle. Sie wurde durch Google Big Sleep entdeckt. Dabei handelt es sich um ein auf Gemini basierendes „KI“-Werkzeug zum Aufspüren von Sicherheitslücken. Es soll eigenständig, ohne menschliche Hilfe, Schwachstellen aufspüren. Dies ist bereits die dritte Lücke, die Big Sleep in Chrome gefunden hat.
▶Google schließt zwei 0-Day-Lücken in Android
Mit dem ersten Sicherheits-Update für Chrome 140 vor einer Woche hat Google eine als kritisch eingestufte Sicherheitslücke geschlossen. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen. Google hat auch Chrome für Android 140.0.7339.155 bereitgestellt. In der Android-Version sind die gleichen Schwachstellen beseitigt wie in den Desktop-Ausgaben. Der Extended Stable Channel für Windows und macOS enthält ebenfalls die Version 140.0.7339.186. Anfang Oktober will Google Chrome 141 freigeben.
Tipp: Unabhängig davon, dass Sie Ihren Browser stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC“ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, mit Updates nachzuziehen. Microsoft Edge und Brave haben den Wechsel auf Chromium 140 längst vollzogen und sind derzeit auf dem Sicherheitsstand der letzten Woche. Vivaldi steht kurz vor der Freigabe der neuen Version 7.6 mit Chromium 140: RC 3, der dritte Release Candidate, absolviert gerade die letzten Praxistests. Das Update auf die finale Fassung dürfte in Kürze folgen.
Opera hat mit seiner Browser-Version 122, die auf Chromium 138 basiert, vorerst zu Vivaldi aufgeschlossen. Die Opera-Entwickler haben zudem einige wichtige Sicherheits-Fixes rückportiert. Es bleiben jedoch einige offene Lücken mit unterschiedlichem Risikopotenzial, bei denen nicht in jedem Fall klar ist, ob sie Chromium 138 überhaupt betreffen.
Update 18. September – Vivaldi ist bereits abgesichert
Vivaldi hat heute die neue Browser-Version 7.6 auf Basis von Chromium 140 freigegeben. Vivaldis CEO Jon von Tetzchner nennt in seinem Blog-Beitrag (die englische Fassung enthält auch das Changelog) ausdrücklich die oben genannte 0-Day-Lücke CVE-2025-10585 sowie die in Vivaldi steckende Chromium-Version.
Update 19. September – Brave und Opera sind abgesichert
Brave hat wenige Stunden nach Vivaldi nachgezogen und ein Update auf die Browser-Version 1.82.170 bereitgestellt. Es behebt auch eine hausgemachte Schwachstelle in der Validierung von Hardware-Wallets. Operas Entwickler haben den Fix gegen die 0-Day-Lücke CVE-2025-10585 (siehe oben) auf Chromium 138 rückportiert, da Google diese Chromium-Version nicht mehr mit Updates pflegt.
Update 20. September – auch Edge ist abgesichert
Dafür, dass es um eine Schwachstelle geht, die offenbar bereits ausgenutzt wird, hat sich Microsoft mit dem Update relativ viel Zeit gelassen. Zumal der erforderliche Aufwand überschaubar gewesen sein dürfte. Doch nachdem es im Rest der Welt (außer in Amerika) bereits Wochenende war, kam schließlich das Update auf Edge 140.0.3485.81 – und nur wenige Stunden später auch die Release Note dazu. Microsoft setzt bei Edge wie Google und Brave auf Chromium 140.0.7339.186.
Chromium-basierte Browser in der Übersicht:
| Browser | Version | Chromium-Version | abgesichert? |
|---|---|---|---|
| Google Chrome ↓ | 140.0.7339.186 | 140.0.7339.186 | 🟢 |
| Brave ↓ | 1.82.170 | 140.0.7339.186 | 🟢 |
| Microsoft Edge | 140.0.3485.81 | 140.0.7339.186 | 🟢 |
| Opera One ↓ | 122.0.5643.51 | 138.0.7204.251 * | 🟡 |
| Vivaldi ↓ | 7.6.3797.52 | 140.0.7339.202 | 🟢 |
* + Patch gegen CVE-2025-10585 (0-Day)
Autor: Frank Ziemann, Autor, PC-WELT
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.
