CVE-2025-10890

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Google Chrome ausnutzen, um Informationen offenzulegen und Code auszuführen.

Google hat ein letztes Update für seinen Browser Chrome 140 bereitgestellt, bevor dieser durch Chrome 141 abgelöst wird. In den neuen Chrome-Versionen 140.0.7339.207/208 für Windows und macOS sowie 140.0.7339.207 für Linux haben die Entwickler mehrere Schwachstellen behoben. Laut Google wird bislang keine der Lücken für Angriffe ausgenutzt. Die Hersteller anderer Chromium-basierter Browser dürften in den kommenden Tagen nachziehen. Im Chrome Release Blog führt Srinivas Sista die drei beseitigten Sicherheitslücken auf, von denen eine durch einen externen Sicherheitsforscher entdeckt und an Google gemeldet worden ist. Google stuft diese Schwachstelle (CVE-2025-10890) als hohes Risiko ein. Es handelt sich um ein Seitenkanal-Informationsleck in der Javascript-Engine V8. Auch die beiden anderen Lücken (CVE-2025-10891, -10892) klaffen in V8. Es handelt sich in beiden Fällen um Ganzzahlüberläufe, die als Schwachstellen mit hohem Risikopotenzial ausgewiesen sind. Sie wurden durch Google Big Sleep entdeckt. Das ist ein auf Gemini basierendes „KI“-Werkzeug zum Aufspüren von Sicherheitslücken. Es soll eigenständig, ohne menschliche Hilfe, Schwachstellen aufspüren. ▶Die neuesten Sicherheits-Updates Mit dem Notfall-Update für Chrome 140 vor einer Woche hat Google eine bereits für Angriffe genutzte Sicherheitslücke (0-Day: CVE-2025-10585) geschlossen. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen. Google hat auch Chrome für Android 140.0.7339.207 bereitgestellt. In der Android-Version sind die gleichen Schwachstellen beseitigt wie in den Desktop-Ausgaben. Der Extended Stable Channel für Windows und macOS enthält ebenfalls die Version 140.0.7339.208. Anfang Oktober will Google Chrome 141 freigeben. Tipp: Unabhängig davon, dass Sie Ihren Browser stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „ Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC “ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert. Google schließt zwei 0-Day-Lücken in Android Andere Chromium-basierte Browser Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, mit Updates nachzuziehen. Microsoft Edge, Brave und Vivaldi haben den Wechsel auf Chromium 140 längst vollzogen und sind derzeit auf dem Sicherheitsstand der Vorwoche. Opera ist mit seiner Browser-Version 122, die auf Chromium-Version 138 basiert, wieder näher herangekommen. Die Opera-Entwickler haben zudem einige wichtige Sicherheits-Fixes rückportiert. Es bleiben jedoch einige offene Lücken mit unterschiedlichem Risikopotenzial, bei denen nicht in jedem Fall klar ist, ob sie Chromium 138 überhaupt betreffen. Update 25. September – Vivaldi ist abgesichert Vivaldi hat schnell reagiert und ein Sicherheits-Update bereitgestellt. Im aktuellen Vivaldi 7.6.3797.56 arbeitet nun Chromium 140.0.7339.212. Außerdem haben die Entwickler einige Bugs beseitigt, darunter drei, die zum Browser-Absturz führen konnten. Operas Update auf Version 122.0.5643.71 bringt lediglich ein paar Bug-Fixes, darunter ebenfalls ein Crash. Chromium-basierte Browser in der Übersicht: Browser Version Chromium-Version abgesichert? Google Chrome ↓ 140.0.7339.208 140.0.7339.208 🟢 Brave ↓ 1.82.170 140.0.7339.186 🟡 Microsoft Edge 140.0.3485.81 140.0.7339.186 🟡 Opera One ↓ 122.0.5643.71 138.0.7204.251 * 🟠 Vivaldi ↓ 7.6.3797.56 140.0.7339.212 🟢 Chromium-basierte Browser – Stand: 24.09.2025 * + Patch gegen CVE-2025-10585 (0-Day)