Chrome 143: Google schließt kritische Sicherheitslücken

Google verteilt ein Notfall-Update für Chrome. Insgesamt 13 Schwachstellen wurden geschlossen – darunter vier hochgefährliche Lecks in der JavaScript-Engine V8. Experten raten: Sofort aktualisieren.

Die Sicherheitsmeldung aus dem Hause Google kam Anfang der Woche: Chrome 143 ist da und bringt deutlich mehr als kosmetische Verbesserungen. Vier der 13 gepatchten Schwachstellen stuft der Konzern als „hochgefährlich” ein. Zwar gibt es bislang keine Berichte über aktive Angriffe, doch die technische Natur der Fehler – vor allem in der Code-Verarbeitung – macht schnelles Handeln unerlässlich. Betroffen sind Nutzer auf Windows, macOS, Linux und Android.

Type Confusion in der V8-Engine

Das Herzstück des Updates betrifft CVE-2025-13630: eine hochgefährliche Type-Confusion-Lücke in Chromes V8-JavaScript-Engine. Diese Engine ist gewissermaßen das Herz des Browsers – sie kompiliert und führt den JavaScript-Code aus, der moderne Webseiten überhaupt erst interaktiv macht.

Was bedeutet Type Confusion konkret? Der Browser „verwechselt” verschiedene Datentypen und greift mit falschen Zugriffsrechten auf den Speicher zu. Angreifer können diese Verwirrung ausnutzen, um Schadcode einzuschleusen. Im Ernstfall reicht der Besuch einer manipulierten Webseite, um das System zu kompromittieren.

Viele Unternehmen und IT-Teams stehen aktuell unter Druck, weil Browser-Lücken wie CVE-2025-13630 unbehandelt bleiben können. Ein kostenloses E‑Book für IT-Verantwortliche erklärt praxisnah, welche Sofortmaßnahmen (Patch-Management, Monitoring, Zugriffsbeschränkungen) am meisten Risiken reduzieren und wie Sie CISA‑Empfehlungen ohne teure Neueinstellungen umsetzen. Inklusive Checkliste für den schnellen Einsatz in Ihrer Organisation. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Google zahlte dem Sicherheitsforscher Shreyas Penkar 11.000 Dollar Belohnung für die Entdeckung – ein Indikator für die Brisanz der Lücke.

Drei weitere kritische Schwachstellen

Neben dem V8-Problem stopft das Update drei weitere hochgefährliche Lecks:

• CVE-2025-13631: Fehler im Google Updater, der Angreifern die Manipulation des Update-Prozesses ermöglichen könnte
• CVE-2025-13632: Schwachstelle in den DevTools, die Entwickler zum Debuggen nutzen
• CVE-2025-13633: Use-After-Free-Lücke bei digitalen Berechtigungsnachweisen – eine klassische Speicherfehler-Kategorie, bei der auf bereits freigegebenen Speicher zugegriffen wird

Update-Müdigkeit trifft auf reale Bedrohung

2025 war kein einfaches Jahr für Browser-Sicherheit. Bereits sieben Zero-Day-Lücken – also Schwachstellen, die Angreifer ausnutzten, bevor ein Patch verfügbar war – bestätigte Google vor diesem Dezember-Update. Die Frequenz dieser Sicherheits-Releases führt bei IT-Verantwortlichen zunehmend zu Ermüdungserscheinungen.

„Die V8-Engine bleibt ein Hauptziel, weil sie Angreifern direkten Zugang zum System verschafft”, erklärt ein Cybersecurity-Analyst. „Es ist beruhigend, dass noch keine aktive Ausnutzung bekannt ist – aber die Uhr tickt.”

Zusätzlich behebt das Update mehrere mittelschwere Probleme im Download-Manager, in WebRTC (für Video- und Audiokommunikation) und im Passwort-Manager. Weniger kritisch, aber in Kombination mit anderen Exploits durchaus gefährlich.

CISA und die Bundesbehörden

Die US-Cybersecurity-Behörde CISA hat für dieses spezifische Update zwar keine Notfall-Direktive herausgegeben, empfiehlt Organisationen aber generell, Browser-Updates innerhalb weniger Tage einzuspielen. Erst im November landete eine andere Chrome-V8-Lücke (CVE-2025-13223) auf CISAs Liste bekannter ausgenutzter Schwachstellen – Bundesbehörden müssen bis Mitte Dezember patchen.

Der Zeitpunkt kurz vor der Vorweihnachtszeit verschärft die Lage: Millionen Menschen wickeln Online-Einkäufe ab, ungepatchte Browser werden zum gefundenen Fressen für Kriminelle.

Wie Sie das Update prüfen

Chrome aktualisiert sich normalerweise automatisch, doch eine manuelle Kontrolle schadet nicht:

1. Chrome öffnen und auf das Drei-Punkte-Menü rechts oben klicken
2. Hilfe > Über Google Chrome wählen
3. Versionsnummer überprüfen:
4. Windows/Mac: 143.0.7499.40 oder 143.0.7499.41
5. Linux: 143.0.7499.40
6. Android: 143.0.7499.52
7. iOS: 143.0.7499.92

Falls verfügbar, lädt Chrome das Update auf dieser Seite automatisch herunter. Ein Neustart des Browsers aktiviert die Sicherheits-Patches.

Ausblick: Rust gegen Speicherfehler

Google setzt verstärkt auf die Programmiersprache Rust, um Speicherfehler wie Type Confusion oder Use-After-Free von vornherein zu verhindern. Erste Teile der Chromium-Codebasis wurden bereits migriert – ein langwieriger, aber notwendiger Prozess.

Für Unternehmens-Umgebungen bietet Google den „Extended Stable”-Kanal (aktuell Version 142.0.7499.226), der längere Testzyklen ermöglicht. Sicherheitsteams sollten dennoch priorisieren: Besonders Nutzer mit erweiterten Zugriffsrechten sind gefährdet, sobald Angreifer die Patches zurückentwickeln, um Exploits zu bauen.

Die aggressive Update-Frequenz dürfte 2026 anhalten. Bleibt zu hoffen, dass die Rust-Migration mittelfristig für Entspannung sorgt.

PS: Wenn ungepatchte Browser in Ihrer Organisation Einfallstore für Angreifer werden sollen Sie schnell reagieren. Dieser kostenlose Leitfaden zeigt konkret, wie Sie Patch‑Management, Rechteverwaltung und Monitoring so aufsetzen, dass bekannte Lücken (inkl. V8-Exploits) kein Risiko mehr darstellen. Ideal für Geschäftsführer und IT‑Manager, die wirksame Maßnahmen ohne großen Mehraufwand einführen wollen. Kostenlosen IT-Security-Leitfaden anfordern