Chrome 0-Day CVE-2025-4664 deckt Windows- und Linux-Browseraktivität auf

Eine neu aufgedeckte Sicherheitslücke in Google Chrome und Chromium-basierten Browsern gefährdet Nutzer durch Datenlecks. Die Schwachstelle mit der Bezeichnung CVE-2025-4664 ermöglicht es Angreifern, sensible Informationen wie Login-Token und Sitzungs-IDs von zuvor besuchten Websites abzugreifen.

Das Sicherheitsproblem wurde heute von Wazuh, einem auf Open-Source-Bedrohungserkennung spezialisierten Cybersicherheitsunternehmen, detailliert beschrieben. Es betrifft sowohl Windows- als auch Linux-Benutzer, einschließlich Debian- und Gentoo-Systemen.

Das Problem liegt in der Handhabung des Link HTTP-Headers durch Chrome beim Laden von Unterressourcen wie Bildern und Skripten. Während die meisten Browser Referrer-Richtlinien in diesen Headern ignorieren, akzeptiert Chrome sie, selbst bei Cross-Origin-Anfragen. Das bedeutet, dass ein Angreifer absichtlich eine lockere Richtlinie wie unsafe-url festlegen kann, um auf vollständige Referrer-URLs zuzugreifen.

Diese URLs können vertrauliche Daten von anderen Websites enthalten, die ein Benutzer kürzlich besucht hat. Kontrolliert ein Angreifer den Zielserver, kann er diese Daten unbemerkt sammeln, ohne dass der Benutzer davon Kenntnis erhält.

Benutzer der folgenden Systeme sind anfällig, wenn ihre Browser nicht aktualisiert wurden:

• Windows : Google Chrome-Versionen vor 136.0.7103.113

• Debian 11 Linux : Chromium bis Version 120.0.6099.224

• Gentoo Linux : Chrome- oder Chromium-Versionen vor 136.0.7103.113

Google hat ein Notfall-Update veröffentlicht, um die Sicherheitslücke in Chrome unter Windows und Chromium unter Gentoo Linux zu beheben. Debian-Nutzer sollten betroffene Chromium-Versionen deinstallieren, bis eine gepatchte Version verfügbar ist.

Wenn Chrome nicht automatisch aktualisiert wird, führen Sie die folgenden Schritte aus, um sicherzustellen, dass Sie die neueste Version ausführen und vor CVE-2025-4664 geschützt sind:

1. Chrome öffnen – Starten Sie Google Chrome auf Ihrem Gerät.
2. Gehen Sie zum Menü – Klicken Sie auf die drei vertikalen Punkte in der oberen rechten Ecke des Browserfensters.
3. Wählen Sie „Hilfe“ → „Über Google Chrome“ – Dadurch wird eine neue Registerkarte geöffnet, die Ihre aktuelle Version anzeigt und automatisch nach Updates sucht.
4. Warten Sie, bis Chrome nach Updates sucht – Wenn eine neuere Version verfügbar ist, beginnt Chrome sofort mit dem Herunterladen.
5. Klicken Sie auf „Neu starten“ . Sobald das Update heruntergeladen ist, klicken Sie auf „Neu starten“, um den Browser neu zu starten und die Installation abzuschließen.

Um das Update zu bestätigen, gehen Sie zurück zu Hilfe > Über Google Chrome . Der Browser sollte nun die neueste Versionsnummer und die Meldung „Google Chrome ist auf dem neuesten Stand“ anzeigen.

Unter Windows muss der Chrome-Update-Dienst in den Systemeinstellungen oder im Gruppenrichtlinien-Editor aktiviert sein. Unter Linux, insbesondere mit Chromium, können Updates je nach Distribution Paketmanager-Befehle oder manuelle Downloads erfordern.

Der Blogbeitrag von Wazuh erläutert die Bedeutung der proaktiven Schwachstellenerkennung. Die Tools bieten Echtzeit-Tracking und Einblicke, die Administratoren helfen, Sicherheitsbedrohungen im Griff zu behalten, insbesondere bei Zero-Day-Schwachstellen wie dieser.