Image: fz
In den neuen Chrome-Versionen 139.0.7258.154/155 für Windows und macOS sowie 139.0.7258.154 für Linux hat Google eine Schwachstelle beseitigt. Laut Google wird die Lücke bislang nicht für Angriffe ausgenutzt. Die Hersteller anderer Chromium-basierter Browser dürften in den kommenden Tagen nachziehen.
Im Chrome Release Blog präsentiert Krishna Govind die beseitigte Sicherheitslücke, die wie schon in der Vorwoche als eine durch externe Sicherheitsforscher entdeckte Lücke behandelt wird. Als Entdecker der Schwachstelle CVE-2025-9478 wird jedoch wieder Google Big Sleep angegeben. Dabei handelt es sich um ein auf Gemini basierendes „KI“-Werkzeug zum Aufspüren von Sicherheitslücken. Es soll eigenständig, ohne menschliche Hilfe, Schwachstellen aufspüren.
Da die Sicherheitsbefunde solcher „KI“-Tools stets mit Vorsicht zu genießen sind, werden sie durch Fachleute nachgeprüft. Dazu, wie viele Fehldiagnosen bei Big Sleep auf einen Treffer kommen, macht Google jedoch keine Angaben. Hier jedoch hat Big Sleep offenbar nicht daneben gegriffen – Google stuft die Lücke CVE-2025-9478 sogar als kritisch ein. Es handelt sich um eine Use-after-free-Lücke in der Grafikbibliothek Angle. Ob in nächster Zukunft solche „KI“-Tools nötig sein werden, um die Sicherheitslücken in durch „KI“ generiertem Programmcode zu finden, muss ebendiese Zukunft weisen.
▶Die neuesten Sicherheits-Updates
Beim vorherigen Sicherheits-Update für Chrome vor einer Woche hat Google ebenfalls eine von Big Sleep entdeckte Sicherheitslücke geschlossen. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen. Google hat auch Chrome für Android 139.0.7258.158 bereitgestellt. In der Android-Version sind die gleichen Schwachstellen beseitigt wie in den Desktop-Ausgaben. In der kommenden Woche will Google Chrome 140 freigeben – bereits in dieser Woche erhält eine kleine Anzahl Nutzer einen Vorgeschmack.
Tipp: Unabhängig davon, dass Sie Ihren Browser stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC“ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, mit Updates nachzuziehen. Microsoft Edge und Brave sind derzeit auf dem Sicherheitsstand der letzten Woche, ebenso Vivaldi. Vivaldi nutzt allerdings nicht Chromium 139, sondern Chromium 138 aus dem Extended Stable Channel.
Opera verharrt mit seiner Browser-Version 120 trotz des Crash-Fix Updates vom 25. August weiterhin bei der veralteten Chromium-Version 135, für die Google schon seit Ende April keine Updates mehr liefert. Die immerhin mit Chromium 137 (aus Mitte Juni) versehene Opera-Version 121 steckt noch im Beta-Teststadium und könnte gerade rechtzeitig zur Freigabe von Chrome 140 erscheinen.
Update 28. August – Brave ist abgesichert
Brave hat als erster Browser-Hersteller auf Googles Chrome-Update reagiert und seine Software auf den neuesten Stand gebracht. In Brave 1.81.137 steckt mit Chromium 139.0.7258.158 sogar eine etwas jüngere Version als in Chrome.
Microsoft hatte zwar bereits am 26. August ein Update auf Edge 139.0.3405.119 bereitgestellt, das jedoch lediglich Bug-Fixes und Optimierungen mitbringt. Ein aktuelles Sicherheits-Update ist zwar angekündigt, steht jedoch noch aus.
Update 29. August – auch Edge ist abgesichert
Microsoft hat seinen Browser Edge aktualisiert, um die neu entdeckte Sicherheitslücke CVE-2025-9478 zu schließen. Für Edge 139.0.3405.125 hat Microsoft die Chromium-Version 139.0.7258.155 verwendet, die auch in Google Chrome steckt.
Vivaldi hat ein Update auf die Version 7.5.3735.66 veröffentlicht, das jedoch die gleiche Chromium-Version enthält wie bisher. Die neuere Chromium-Version 138.0.7204.251 vom 26. August aus dem Extended Stable Channel bleibt unberücksichtigt. Das Vivaldi-Update behebt lediglich ein Problem für Nutzer ostasiatischer Schriftzeichen (chinesische, japanische und koreanische Schrift: Hànzì, Kanji, Hanja).
Opera hat einen großen Schritt vorwärts gemacht und seinen Browser in der Version 121.0.5600.38 freigegeben. Diese basiert auf Chromium 137.0.7151.122 (aus Mitte Juni) – das ist tatsächlich ein gewisser Fortschritt. Opera hinkt nun nicht mehr vier, sondern nur noch zwei Chromium-Generationen hinterher – zumindest bis Google am 2. September Chrome/Chromium 140 freigibt.
Update 29. August II – Vivaldi ist nicht anfällig
Chromium 138 enthält nach Auskunft eines Vivaldi-Mitarbeiters den für CVE-2025-9478 anfälligen (Angle-) Code nicht. Deshalb ist auch Vivaldi 7.5.3735.66 trotz der darin verwendeten Chromium-Version 138.0.7204.245 vom 20. August nicht für CVE-2025-9478 anfällig. Das Chromium-Update auf 138.0.7204.251 vom 26. August enthalte zudem keine sicherheitsrelevanten Änderungen, weshalb man es nicht verwendet habe.
Chromium-basierte Browser in der Übersicht:
| Browser | Version | Chromium-Version | abgesichert? |
|---|---|---|---|
| Google Chrome ↓ | 139.0.7258.155 | 139.0.7258.155 | 🟢 |
| Brave ↓ | 1.81.137 | 139.0.7258.158 | 🟢 |
| Microsoft Edge | 139.0.3405.125 | 139.0.7258.155 | 🟢 |
| Opera One ↓ | 121.0.5600.38 | 137.0.7151.122 | 🟠 |
| Vivaldi ↓ | 7.5.3735.66 | 138.0.7204.245 | 🟢 |
Autor: Frank Ziemann, Autor, PC-WELT
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.
Image: fz
In den neuen Chrome-Versionen 139.0.7258.154/155 für Windows und macOS sowie 139.0.7258.154 für Linux hat Google eine Schwachstelle beseitigt. Laut Google wird die Lücke bislang nicht für Angriffe ausgenutzt. Die Hersteller anderer Chromium-basierter Browser dürften in den kommenden Tagen nachziehen.
Im Chrome Release Blog präsentiert Krishna Govind die beseitigte Sicherheitslücke, die wie schon in der Vorwoche als eine durch externe Sicherheitsforscher entdeckte Lücke behandelt wird. Als Entdecker der Schwachstelle CVE-2025-9478 wird jedoch wieder Google Big Sleep angegeben. Dabei handelt es sich um ein auf Gemini basierendes „KI“-Werkzeug zum Aufspüren von Sicherheitslücken. Es soll eigenständig, ohne menschliche Hilfe, Schwachstellen aufspüren.
Da die Sicherheitsbefunde solcher „KI“-Tools stets mit Vorsicht zu genießen sind, werden sie durch Fachleute nachgeprüft. Dazu, wie viele Fehldiagnosen bei Big Sleep auf einen Treffer kommen, macht Google jedoch keine Angaben. Hier jedoch hat Big Sleep offenbar nicht daneben gegriffen – Google stuft die Lücke CVE-2025-9478 sogar als kritisch ein. Es handelt sich um eine Use-after-free-Lücke in der Grafikbibliothek Angle. Ob in nächster Zukunft solche „KI“-Tools nötig sein werden, um die Sicherheitslücken in durch „KI“ generiertem Programmcode zu finden, muss ebendiese Zukunft weisen.
▶Die neuesten Sicherheits-Updates
Beim vorherigen Sicherheits-Update für Chrome vor einer Woche hat Google ebenfalls eine von Big Sleep entdeckte Sicherheitslücke geschlossen. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen. Google hat auch Chrome für Android 139.0.7258.158 bereitgestellt. In der Android-Version sind die gleichen Schwachstellen beseitigt wie in den Desktop-Ausgaben. In der kommenden Woche will Google Chrome 140 freigeben – bereits in dieser Woche erhält eine kleine Anzahl Nutzer einen Vorgeschmack.
Tipp: Unabhängig davon, dass Sie Ihren Browser stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC“ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert.
Andere Chromium-basierte Browser
Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, mit Updates nachzuziehen. Microsoft Edge und Brave sind derzeit auf dem Sicherheitsstand der letzten Woche, ebenso Vivaldi. Vivaldi nutzt allerdings nicht Chromium 139, sondern Chromium 138 aus dem Extended Stable Channel.
Opera verharrt mit seiner Browser-Version 120 trotz des Crash-Fix Updates vom 25. August weiterhin bei der veralteten Chromium-Version 135, für die Google schon seit Ende April keine Updates mehr liefert. Die immerhin mit Chromium 137 (aus Mitte Juni) versehene Opera-Version 121 steckt noch im Beta-Teststadium und könnte gerade rechtzeitig zur Freigabe von Chrome 140 erscheinen.
Update 28. August – Brave ist abgesichert
Brave hat als erster Browser-Hersteller auf Googles Chrome-Update reagiert und seine Software auf den neuesten Stand gebracht. In Brave 1.81.137 steckt mit Chromium 139.0.7258.158 sogar eine etwas jüngere Version als in Chrome.
Microsoft hatte zwar bereits am 26. August ein Update auf Edge 139.0.3405.119 bereitgestellt, das jedoch lediglich Bug-Fixes und Optimierungen mitbringt. Ein aktuelles Sicherheits-Update ist zwar angekündigt, steht jedoch noch aus.
Update 29. August – auch Edge ist abgesichert
Microsoft hat seinen Browser Edge aktualisiert, um die neu entdeckte Sicherheitslücke CVE-2025-9478 zu schließen. Für Edge 139.0.3405.125 hat Microsoft die Chromium-Version 139.0.7258.155 verwendet, die auch in Google Chrome steckt.
Vivaldi hat ein Update auf die Version 7.5.3735.66 veröffentlicht, das jedoch die gleiche Chromium-Version enthält wie bisher. Die neuere Chromium-Version 138.0.7204.251 vom 26. August aus dem Extended Stable Channel bleibt unberücksichtigt. Das Vivaldi-Update behebt lediglich ein Problem für Nutzer ostasiatischer Schriftzeichen (chinesische, japanische und koreanische Schrift: Hànzì, Kanji, Hanja).
Opera hat einen großen Schritt vorwärts gemacht und seinen Browser in der Version 121.0.5600.38 freigegeben. Diese basiert auf Chromium 137.0.7151.122 (aus Mitte Juni) – das ist tatsächlich ein gewisser Fortschritt. Opera hinkt nun nicht mehr vier, sondern nur noch zwei Chromium-Generationen hinterher – zumindest bis Google am 2. September Chrome/Chromium 140 freigibt.
Update 29. August II – Vivaldi ist nicht anfällig
Chromium 138 enthält nach Auskunft eines Vivaldi-Mitarbeiters den für CVE-2025-9478 anfälligen (Angle-) Code nicht. Deshalb ist auch Vivaldi 7.5.3735.66 trotz der darin verwendeten Chromium-Version 138.0.7204.245 vom 20. August nicht für CVE-2025-9478 anfällig. Das Chromium-Update auf 138.0.7204.251 vom 26. August enthalte zudem keine sicherheitsrelevanten Änderungen, weshalb man es nicht verwendet habe.
Chromium-basierte Browser in der Übersicht:
| Browser | Version | Chromium-Version | abgesichert? |
|---|---|---|---|
| Google Chrome ↓ | 139.0.7258.155 | 139.0.7258.155 | 🟢 |
| Brave ↓ | 1.81.137 | 139.0.7258.158 | 🟢 |
| Microsoft Edge | 139.0.3405.125 | 139.0.7258.155 | 🟢 |
| Opera One ↓ | 121.0.5600.38 | 137.0.7151.122 | 🟠 |
| Vivaldi ↓ | 7.5.3735.66 | 138.0.7204.245 | 🟢 |
Autor: Frank Ziemann, Autor, PC-WELT
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.
