20. November 2025
Die Cybersecurity and Infrastructure Security Agency (CISA) erweitert ihren Katalog ausgenutzter Sicherheitslücken um eine kritische Schwachstelle in Googles JavaScript-Engine V8. Angreifer nutzen die Lücke bereits aktiv aus. Chrome-Nutzer sollten umgehend prüfen, ob die aktuelle Version installiert ist.
Hintergrund: Typverwechslung in V8 ermöglicht Speicherfehler
Google hat eine Schwachstelle in der JavaScript-Engine V8 behoben, die in Chrome-Versionen vor 142.0.7444.175 steckte. Die Lücke resultiert aus einer Typverwechslung und kann über präparierte HTML-Seiten zu einer Heap-Korruption führen – ein klassischer Einstiegspunkt für das Einschleusen und Ausführen von Schadcode.
Der Fehler wird von Google mit hoher Schwere eingestuft.
Sicherheitsupdate für alle Plattformen verfügbar
Google hat den Stable Channel wie folgt aktualisiert:
-
Windows: 142.0.7444.175/.176
-
macOS: 142.0.7444.176
-
Linux: 142.0.7444.175
Die Verteilung erfolgt wie üblich schrittweise über die kommenden Tage. Das vollständige Änderungsprotokoll listet alle Fixes und Anpassungen, bleibt jedoch teilweise eingeschränkt, bis ein Großteil der Nutzer auf die gepatchte Version gewechselt hat.
Details zu den behobenen Schwachstellen
Das Update schließt zwei sicherheitsrelevante Bugs, die von externen Sicherheitsforschern gemeldet wurden:
-
CVE-2025-13223 – Typverwechslung in V8
Schweregrad: Hoch
Gemeldet von der Google Threat Analysis Group (TAG) am 12.11.2025.
Laut Google wird diese Lücke bereits aktiv ausgenutzt. -
CVE-2025-13224 – weiterer Typkonflikt in V8
Schweregrad: Hoch
Gemeldet von Google Big Sleep am 09.10.2025.
Details bleiben vorerst beschränkt, da V8 auch in anderen Projekten genutzt wird, die ihre Patches noch nicht vollständig ausgerollt haben.
Dringende Handlungsempfehlung
Da bereits funktionierende Exploits für CVE-2025-13223 kursieren, sollten Unternehmen und Endnutzer Chrome schnellstmöglich aktualisieren. Systeme mit Chrome-Versionen vor 142.0.7444.175 gelten als verwundbar.
Auch interessant:
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Diesel Vortex: Russische Phishing-Gruppe greift systematisch Logistikunternehmen an
Oblivion: Neue Android-Malware umgeht Sicherheitsschichten auf Samsung, Xiaomi und Co.
Starkiller: Phishing-Framework setzt auf Echtzeit-Proxy statt HTML-Klone
LockBit-Ransomware über Apache-ActiveMQ-Lücke: Angriff in zwei Wellen
Infoblox erweitert DDI-Portfolio: Neue Integrationen für Multi-Cloud und stärkere Automatisierung
Studien
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Finanzsektor unterschätzt Cyber-Risiken: Studie offenbart strukturelle Defizite in der IT-Sicherheit
CrowdStrike Global Threat Report 2026: KI beschleunigt Cyberangriffe und weitet Angriffsflächen aus
IT-Sicherheit in Großbritannien: Hohe Vorfallsquoten, steigende Budgets – doch der Wandel stockt
IT-Budgets 2026: Deutsche Unternehmen investieren mehr – und fordern messbaren Gegenwert
Whitepaper
Third Party Risk Management – auch das Procurement benötigt technische Unterstützung
EU-Toolbox für IKT-Lieferkettensicherheit: Gemeinsamer Rahmen zur Risikominderung
EU-Behörden stärken Cybersicherheit: CERT-EU und ENISA veröffentlichen neue Rahmenwerke
WatchGuard Internet Security Report zeigt über 1.500 Prozent mehr neuartige Malware auf
Armis Labs Report 2026: Früherkennung als Schlüsselfaktor im Finanzsektor angesichts KI-gestützter Bedrohungen
Hamsterrad-Rebell
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
