Chrome 143: Google schließt kritische Lücken nach BSI-Warnungen

Google hat diese Woche ein Notfall-Update für seinen Chrome-Browser veröffentlicht. Die Patches schließen zwei hochkritische Sicherheitslücken, die Angreifern die vollständige Übernahme von Systemen ermöglichen könnten. Für Unternehmen in Deutschland verschärft sich damit der Handlungsdruck – das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte erst kürzlich vor Risiken in Chrome gewarnt.

Die neue Version 143.0.7499.146 (bzw. .147 für macOS) behebt die Schwachstellen CVE-2025-14765 und CVE-2025-14766. Beide ermöglichen sogenannte Remote-Code-Execution-Angriffe. Das bedeutet: Ein Besuch auf einer manipulierten Website reicht aus, um Schadcode einzuschleusen. Für IT-Abteilungen ist dies ein Alarmsignal. Bereits am 10. Dezember hatte Google ein ähnliches Update für eine bereits aktiv ausgenutzte Zero-Day-Lücke bereitgestellt – die achte in diesem Jahr.

WebGPU und V8-JavaScript-Engine im Visier

Die beiden geschlossenen Lücken betreffen zentrale Browser-Komponenten. CVE-2025-14765 ist ein “Use-After-Free”-Fehler in der WebGPU-Schnittstelle, die für Grafikberechnungen zuständig ist. Angreifer könnten dadurch auf bereits freigegebenen Speicher zugreifen und so die Kontrolle über den Browser erlangen.

Remote-Code-Execution und schnelle Zero-Day-Exploits zeigen: Unternehmen müssen ihre Cyber-Defensive sofort priorisieren. Das kostenlose E‑Book “Cyber Security Awareness Trends” fasst aktuelle Bedrohungen, relevante Gesetze wie DSGVO und NIS-2 sowie praxisnahe Maßnahmen – von automatisiertem Patch-Management bis zu Zero-Trust-Ansätzen für Browser – kompakt zusammen. Ideal für IT-Leiter und Geschäftsführer, die jetzt handeln müssen. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Noch brisanter ist CVE-2025-14766 in der V8-JavaScript-Engine, dem Herzstück von Chrome. Hier handelt es sich um einen “Out-of-Bounds”-Fehler, der es erlaubt, über die Grenzen des vorgesehenen Speicherbereichs hinauszulesen oder zu schreiben. Solche Schwachstellen sind bei Cyberkriminellen besonders beliebt, da sie oft den Weg für weitergehende Angriffe ebnen.

BSI erhöht den Druck auf Unternehmen

Die Updates kommen zu einem kritischen Zeitpunkt. Die deutschen Behörden haben ihre Warnungen zu Chrome in den letzten Tagen deutlich verschärft. Am 15. Dezember 2025 veröffentlichte das BSI eine Analyse, die speziell die Sicherheitsarchitektur des integrierten Google-Passwort-Managers kritisiert. Die Behörde warnt vor Risiken bei der Datensynchronisation und dem potenziellen Zugriff des Herstellers auf gespeicherte Zugangsdaten.

Bereits zuvor hatte das CERT-Bund die Bedrohungslage durch Chrome-Schwachstellen mit “Hoch” eingestuft. Für Compliance-Verantwortliche sind das keine rein technischen Hinweise mehr. Unter der DSGVO und der NIS-2-Richtlinie können ungepatchte Systeme als Verstoß gegen den “Stand der Technik” gewertet werden. Im Falle eines Datenschutzvorfalls drohen dann empfindliche Bußgelder und Regressansprüche.

Sofortmaßnahmen für die IT-Sicherheit

IT-Administratoren sollten jetzt umgehend handeln. Ein vier-Punkte-Plan bringt Systeme schnell wieder auf einen sicheren Stand:

1. Update erzwingen: Stellen Sie sicher, dass alle Systeme die Version 143.0.7499.146 (Windows/Linux) oder .147 (macOS) ausführen. Nutzen Sie Gruppenrichtlinien (GPO) oder MDM-Tools für die zentrale Steuerung.
2. Neustart durchsetzen: Die Patches werden erst nach einem Browser-Neustart aktiv. Verhindern Sie, dass Mitarbeiter diesen notwendigen Schritt hinauszögern.
3. Passwort-Manager überprüfen: Hinterfragen Sie angesichts der BSI-Warnung die Nutzung des Chrome-eigenen Passwort-Managers im Unternehmen. Enterprise-Lösungen wie KeePass oder spezielle Business-Tools bieten oft mehr Kontrolle und Sicherheit.
4. WebGPU prüfen: Deaktivieren Sie die WebGPU-Schnittstelle über Richtlinien, wenn sie für Ihre Geschäftsprozesse nicht benötigt wird. Dies bietet eine zusätzliche Sicherungsebene.

Das Zeitfenster zum Patchen schließt sich

Die Entwicklung zeigt einen besorgniserregenden Trend: Die Zeitspanne zwischen der Bekanntwerdung einer Schwachstelle und ihrer aktiven Ausnutzung – die “Patch Gap” – schrumpft dramatisch. Bei Zero-Day-Lücken existiert sie praktisch nicht mehr. Google reagiert mit immer schnelleren Update-Zyklen. Für IT-Teams bedeutet das einen permanenten Sprint.

Die Konsequenz für 2026 ist klar: Automatisierte Patch-Management-Systeme und Zero-Trust-Architekturen für Browser werden vom Nice-to-have zum Compliance-Muss. Wer heute zögert, riskiert morgen den Angriff.

PS: Sie möchten sofort wissen, welche Maßnahmen jetzt höchste Priorität haben? Das Gratis-E-Book erklärt, wie Sie Patch-Gaps schließen, WebGPU-Risiken mindern und den Chrome-Passwort-Manager richtig bewerten – plus eine Prioritäten-Liste für DSGVO- und NIS-2-Compliance, die Entscheider sofort umsetzen können. Kostenlosen Cyber-Security-Report anfordern