2025-3020: Google Chrome, Chromium, Microsoft Edge for Android: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2025-10-30 13:12)
- Neues Advisory
- Version 2 (2025-11-03 13:42)
- Für openSUSE Backports SLE 15 SP6 und 15 SP7 stehen Sicherheitsupdates für 'chromium' bereit, um 19 Schwachstellen zu beheben. Für Debian 12 Bookworm (oldstable) steht Version 142.0.7444.59-1~deb12u1 und für Debian 13 Trixie (stable) steht Version 142.0.7444.59-1~deb13u1 von 'chromium' bereit, um 20 Schwachstellen zu beheben.
- Version 3 (2025-11-04 14:24)
- Für Fedora 42 und 43 sowie Fedora EPEL 9 und 10.2 steht das Paket 'chromium-142.0.7444.59-1' im Status 'testing' bereit, um die 20 Schwachstellen zu beheben.
- Version 4 (2025-11-04 16:20)
- Für Fedora 41 steht das Paket 'chromium-142.0.7444.59-1' im Status 'testing' bereit, um die 20 Schwachstellen zu beheben.
- Version 5 (2025-11-05 07:36)
- Die Chrome Version 142.0.7444.48 für Android wird über Google Play in den nächsten Tagen zur Verfügung gestellt. Zusätzlich zu Stabilitäts- und Performance-Verbesserungen umfasst das Release für Android die Behebung der gleichen Schwachstellen, die auch in der Desktop Version behoben werden. Microsoft veröffentlicht die Microsoft Edge for Android Version 142.0.3595.58, basierend auf der aktuellen Chromium Version 142.0.7445.59/.60, um die Schwachstellen zu beheben.
- Version 6 (2025-11-11 07:41)
- Für openSUSE Leap 16.0 steht ein Sicherheitsupdate für 'chromium' auf das Chromium 142.0.7444.59 Release bereit, um 20 Schwachstellen zu beheben.
- Version 7 (2025-11-18 11:59)
- Google hat die Schwachstellen CVE-2025-13226, CVE-2025-13227, CVE-2025-13228, CVE-2025-13229 und CVE-2025-13230 nachträglich zum Stable Channel Update vom 28.10.2025 hinzugefügt. Die Schwachstellen sind mit der Bewertung 'high' eingestuft und wurden entsprechend hoch honoriert. Ein Angreifer kann diese Schwachstellen aus der Ferne mit Hilfe einer speziell präparierten HTML-Seite ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.
Betroffene Software
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen und nicht spezifizierte Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Zur Behebung der Schwachstellen stellt Google die Chrome Version 142.0.7444.59 für Linux, 142.0.7444.59/60 für Windows sowie 142.0.7444.60 für macOS zur Verfügung. Die neuen Versionen sollen in den nächsten Tagen bzw. Wochen ausgerollt werden.
Über den App Store steht die Chrome Version 142.0.7444.77 für iOS bereit, welche zudem Stabilitäts- und Performance-Verbesserungen umfasst.
Wie üblich stellt Google derzeit nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.
Schwachstellen:
CRBUG-455996292
Schwachstellen in Chromium und Google Chrome ermöglichen nicht spezifizierte AngriffeCVE-2025-12036 CVE-2025-12429 CVE-2025-12433
Schwachstellen in Chromium und Google Chrome V8 ermöglichen nicht spezifizierte AngriffeCVE-2025-12428
Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-12430
Schwachstelle in Chromium und Google Chrome Media ermöglicht nicht spezifizierte AngriffeCVE-2025-12431
Schwachstelle in Chromium und Google Chrome Extensions ermöglicht nicht spezifizierte AngriffeCVE-2025-12432
Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-12434
Schwachstelle in Chromium und Google Chrome Storage ermöglicht nicht spezifizierte AngriffeCVE-2025-12435
Schwachstelle in Chromium und Google Chrome Omnibox ermöglicht nicht spezifizierte AngriffeCVE-2025-12436
Schwachstelle in Chromium und Google Chrome Extensions ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2025-12437
Schwachstelle in Chromium und Google Chrome PageInfo ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-12438
Schwachstelle in Chromium und Google Chrome Ozone ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-12439
Schwachstelle in Chromium und Google Chrome App-Bound Encryption ermöglicht nicht spezifizierte AngriffeCVE-2025-12440
Schwachstelle in Chromium und Google Chrome Autofill ermöglicht nicht spezifizierte AngriffeCVE-2025-12441
Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausspähen von InformationenCVE-2025-12443
Schwachstelle in Chromium und Google Chrome Web XR ermöglicht Ausspähen von InformationenCVE-2025-12444
Schwachstelle in Chromium und Google Chrome Fullscreen UI ermöglicht nicht spezifizierte AngriffeCVE-2025-12445
Schwachstelle in Chromium und Google Chrome Extensions ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2025-12446
Schwachstelle in Chromium und Google Chrome SplitView ermöglicht nicht spezifizierte AngriffeCVE-2025-12447
Schwachstelle in Chromium und Google Chrome Omnibox ermöglicht nicht spezifizierte AngriffeCVE-2025-13226 CVE-2025-13227 CVE-2025-13228 CVE-2025-13229 CVE-2025-13230
Schwachstellen in Chromium und Google Chrome ermöglichen Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.