CVE-2025-14174

Ein Angreifer kann mehrere Schwachstellen in Google Chrome/Microsoft Edge ausnutzen, um einen nicht näher spezifizierten Angriff durchzuführen.

Apple on Friday released security updates for iOS, iPadOS, macOS, tvOS, watchOS, visionOS, and its Safari web browser to address two security flaws that it said have been exploited in the wild, one of which is the same flaw that was patched by Google in Chrome earlier this week. The vulnerabilities are listed below - CVE-2025-43529 (CVSS score: N/A) - A use-after-free vulnerability in WebKit

Apple has released emergency updates to patch two zero-day vulnerabilities that were exploited in an "extremely sophisticated attack" targeting specific individuals. [...]

Der iPhone-Konzern aus Cupertino hat am 12. Dezember 2025 umfassende Sicherheitsupdates ausgerollt, die zwei aktiv ausgenutzten Zero-Day-Schwachstellen schließen. Die Sicherheitslücken in der WebKit-Engine wurden für gezielte Angriffe auf ausgewählte iPhone-Anwender eingesetzt. Neben diesen kritischen Fixes adressiert Apple mehr als 30 zusätzliche Vulnerabilitäten in verschiedenen Systemkomponenten. Der Beitrag Apple schließt kritische Zero-Day-Sicherheitslücken nach gezielten iPhone-Angriffen erschien zuerst auf All About Security Das Online-Magazin zu Cybersecurity (Cybersicherheit). Ransomware, Phishing, IT-Sicherheit, Netzwerksicherheit, KI, Threats, DDoS, Identity & Access, Plattformsicherheit .

Google on Wednesday shipped security updates for its Chrome browser to address three security flaws, including one it said has come under active exploitation in the wild. The vulnerability, rated high in severity, is being tracked under the Chromium issue tracker ID "466192044." Unlike other disclosures, Google has opted to keep information about the CVE identifier, the affected component, and

In den neuen Chrome-Versionen 143.0.7499.109/101 für Windows und macOS sowie 143.0.7499.109 für Linux hat Google drei Schwachstellen behoben. Laut Google wird eine dieser Lücken bereits für Angriffe ausgenutzt. Die Freigabe der neuen Chrome-Version erfolgt mit einem Tag Verzögerung. Die Hersteller anderer Chromium-basierter Browser werden in den kommenden Tagen nachziehen, Vivaldi hat bereits ein Update am Start. Im Chrome Release Blog hatte Srinivas Sista den Abschnitt „Security Fixes and Rewards“ zunächst gar nicht veröffentlicht. Dergleichen ist in den letzten Wochen mehrfach geschehen (auch in der Vorwoche) – zu oft, um von einem Versehen auszugehen. Erst einen halben Tag später führt er die beseitigten Sicherheitslücken auf, die offenbar alle durch externe Forscher an Google gemeldet wurden. Google stuft eine dieser Schwachstellen als hohes Risiko ein. Allerdings gibt es noch keinerlei Details zu der Lücke. Es heißt lapidar: „[466192044] High: Under coordination.“ Es gibt also bislang weder eine CVE-Nummer noch Angaben zur Art der Schwachstelle oder zur anfälligen Komponente. Klar ist erst einmal nur, dass es sich um eine 0-Day-Lücke handelt. Es sollten also bald weitere Informationen folgen. Die zwei weiteren Lücken sind als mittleres Risiko ausgewiesen. ▶Die neuesten Sicherheits-Updates Am 2. Dezember hat Google mit einiger Verspätung die neue Chrome-Hauptversion 143 freigegeben , die mehrere Schwachstellen behebt. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen. Google hat auch Chrome für Android 143.0.7499.1092 und Chrome für iOS 143.0.7499.108 bereitgestellt. In der Android-Version sind die gleichen Schwachstellen beseitigt wie in den Desktop-Ausgaben. Der Extended Stable Channel für Windows und macOS enthält nun die Chromium-Version 142.0.7499.235. Erst im Januar 2026 will Google Chrome 144 veröffentlichen. Tipp: Unabhängig davon, dass Sie Ihren Browser stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „ Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC “ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert. Andere Chromium-basierte Browser Die Hersteller anderer auf Chromium basierender Browser sind nun wieder gefordert, rasch mit Updates nachzuziehen. Microsoft Edge und Brave haben den Wechsel auf Chromium 143 vollzogen und sind auf dem Sicherheitsstand der letzten Woche. Vivaldi ignoriert generell ungerade Chromium-Versionen (wie 143) und setzt stattdessen auf den Extended Release Channel der Vorversion. In dem am 10. Dezember an sich nur als Bug-Fix bereitgestellten Update auf Vivaldi 7.7.3851.61 steckt jedoch bereits Chromium 142.0.7444.237. Diese Chromium-Version ist ebenfalls vom 10. Dezember und so sollten darin alle bekannten Sicherheitslücken geschlossen sein, soweit sie denn Chromium 142 überhaupt betreffen. Opera hat mit seiner am 4. Dezember erschienenen Browser-Version 125 auf Basis der Chromium-Version 141 den Rückstand auf die Konkurrenz zunächst weiter verkürzt. Falls die oben genannte 0-Day-Lücke auch Chromium 141 betreffen sollte, würden sich die Opera-Entwickler zweifellos bemühen, den Patch auf Chromium 141 rückzuportieren. Update 12. Dezember – Brave und Edge sind abgesichert Inzwischen haben auch Brave und Microsoft ihre Browser aktualisiert. Brave hat ein Update auf die Version 1.85.116 bereitgestellt, die Chromium 143.0.7499.110 nutzt. Das gilt ebenso für Microsoft Edge 143.0.3650.80, das ein paar Stunden später erschienen ist. Microsoft nennt für die 0-Day-Lücke in Chromium eine CVE-Nummer ( CVE-2025-14174 ), zu der es jedoch derzeit keine Informationen gibt. Update 13. Dezember – neue Details von Google Am 12. Dezember, nach europäischer Zeit eher spät, hat Google im Chrome Release Blog ein wenig mehr Informationen zu der 0-Day-Lücke preisgegeben. Die von Microsoft bereits vorab publizierte CVE-Nummer (CVE-2025-14174) wird damit bestätigt. Es handelt sich um eine Schwachstelle, bei der ein irregulärer Speicherzugriff zu einem ausnutzbaren Absturz führt (out of bounds memory access). Der Fehler steckt in der quelloffenen Grafikbibliothek ANGLE, die auch Firefox nutzt, um WebGL-Befehle auf System-APIs wie DirectX zu übertragen. Den Ruhm für die Entdeckung der Lücke teilen sich Apples Security Engineering and Architecture (SEAR) und Googles Threat Analysis Group (TAG) . Denkbar wäre zum Beispiel, dass SEAR die Schwachstelle als solche entdeckt hat und TAG die Angriffe, die diese Lücke ausnutzen – oder umgekehrt. Beide haben ihre Erkenntnisse demnach am 5. Dezember gemeldet. Mehr ist dazu bei Google nicht zu holen. Die US-Standardisierungsbehörde NIST schreibt in ihrer CVE-Datenbank , die Lücke betreffe Chrome auf macOS-Rechnern und lasse sich über speziell präparierte HTML-Seiten ausnutzen. Es ist zunächst nicht auszuschließen, dass sich auch Windows-Rechner über diese Schwachstelle kompromittieren lassen – das gilt es noch herauszufinden. Ungeklärt ist auch noch, ob Firefox ebenfalls anfällig ist. Chromium-basierte Browser in der Übersicht: Browser Version Chromium-Version abgesichert? Google Chrome ↓ 143.0.7499.110 143.0.7499.110 🟢 Brave ↓ 1.85.116 143.0.7499.110 🟢 Microsoft Edge 143.0.3650.80 143.0.7499.110 🟢 Opera One ↓ 125.0.5729.21 141.0.7390.125 🟠 Vivaldi ↓ 7.7.3851.61 142.0.7444.237 🟢 Chromium-basierte Browser – Stand: 11.12.2025