2025-3221: Google Chrome, Chromium, Chromium Embedded Framework, Microsoft Edge: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-11-18 12:07): Neues Advisory
Version 2 (2025-11-19 07:13): Microsoft veröffentlicht die Microsoft Edge Version 142.0.3595.90, basierend auf der aktuellen Chromium Version 142.0.7444.176, um die Schwachstellen zu beheben.
Version 3 (2025-11-20 06:56): Für Debian 12 Bookworm (oldstable) steht Version 142.0.7444.175-1~deb12u1 und für Debian 13 Trixie (stable) steht Version 142.0.7444.175-1~deb13u1 von 'chromium' bereit, um die beiden Schwachstellen zu beheben. Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.
Version 4 (2025-11-21 06:56): Für openSUSE Backports SLE 15 SP6 und 15 SP7 stehen Sicherheitsupdates für 'chromium' auf Version 142.0.7444.175 bereit, um die beiden Schwachstellen zu beheben.
Version 5 (2025-11-24 07:25): Für openSUSE Leap 16.0 steht ein Sicherheitsupdate für 'chromium' bereit, um die beiden Schwachstellen zu beheben. Für Fedora 43 steht das Paket 'chromium-142.0.7444.175-2' im Status 'stable' und für Fedora 41 und 42 sowie Fedora EPEL 9 und EPEL 10.2 steht das Paket 'chromium-142.0.7444.175-2' im Status 'testing' bereit, um die Schwachstellen zu beheben. Das Sicherheitsupdate für Fedora EPEL 9 ersetzt dabei ein früheres Update, welches in den Status 'obsolete' versetzt wurde, und adressiert damit auch die mit Version 142.0.7444.162 behobene Schwachstelle CVE-2025-13042.
Version 6 (2025-12-04 07:39): Für Fedora 42 und 43 steht das Paket 'cef-142.0.17^chromium142.0.7444.175-1' im Status 'testing' bereit, um die beiden Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Office
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.

Google gibt an, dass die Schwachstelle CVE-2025-13223 bereits aktiv ausgenutzt wird.

Zur Behebung der Schwachstellen stellt Google die Chrome Version 142.0.7444.175 für Linux und 142.0.7444.176 für macOS sowie 142.0.7444.175/.176 für Windows zur Verfügung. Die neuen Versionen sollen in den nächsten Tagen bzw. Wochen ausgerollt werden.

Wie üblich, stellt Google derzeit nur wenig Informationen zu der Schwachstelle bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.

Schwachstellen:

CVE-2025-13223

Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausführen beliebigen Programmcodes

CVE-2025-13224