Chrome 142.0.7444.59 / 60 schließt Schwachstellen; Chromium 143.0.7483.0 mit schwerem Bug

Zum 28. Oktober 2025 hat Google den Chrome-Browser auf die Versionen 142.0.7444.59 / 60 aktualisiert, um  gleich mehrere Schwachstellen zu schließen. Im Chromium-Zweig 143.0.7483.0 gibt es aber einen schweren Bug, der den Browser abstürzen lässt. Ich ziehe mal einige Informationen zu diesen Themen nachfolgend kurz zusammen.

Google Chrome (Stable) 142.0.7444.59 / 60

Der betreffende Eintrag findet sich im Google-Blog. Der Stable-Channel wurde per Update für macOS und Windows auf die Version 142.0.7444.59/60 aktualisiert. Für Linux aktualisiert das Update den Browser auf die Version 142.0.7444.59. Für iOS wurde Chrome auf die Version 142.0.7444.77 aktualisiert, und für Android auf die Version 142.0.7444.48 (23.10.2025). Laut Google wurden zum 28. Oktober 2025 folgende, mit High bewertete, Schwachstellen geschlossen.

• [$50000][447613211] High CVE-2025-12428: Type Confusion in V8. Reported by Man Yue Mo of GitHub Security Lab on 2025-09-26
• [$50000][450618029] High CVE-2025-12429: Inappropriate implementation in V8. Reported by Aorui Zhang on 2025-10-10
• [$10000][442860743] High CVE-2025-12430: Object lifecycle issue in Media. Reported by round.about on 2025-09-04
• [$4000][436887350] High CVE-2025-12431: Inappropriate implementation in Extensions. Reported by Alesandro Ortiz on 2025-08-06
• [N/A][439522866] High CVE-2025-12432: Race in V8. Reported by Google Big Sleep on 2025-08-18
• [N/A][449760249] High CVE-2025-12433: Inappropriate implementation in V8. Reported by Google Big Sleep on 2025-10-07
• [N/A][452296415] High CVE-2025-12036: Inappropriate implementation in V8. Reported by Google Big Sleep on 2025-10-15
• [$3000][337356054] Medium CVE-2025-12434: Race in Storage. Reported by Lijo A.T on 2024-04-27
• [$3000][446463993] Medium CVE-2025-12435: Incorrect security UI in Omnibox. Reported by Hafiizh on 2025-09-21
• [$2000][40054742] Medium CVE-2025-12436: Policy bypass in Extensions. Reported by Luan Herrera (@lbherrera_) on 2021-02-08
• [$2000][446294487] Medium CVE-2025-12437: Use after free in PageInfo. Reported by Umar Farooq on 2025-09-20
• [$1000][433027577] Medium CVE-2025-12438: Use after free in Ozone. Reported by

Hinzu kommen verschiedene Korrekturen aus internen Audits, Fuzzing und anderen Initiativen. Sowohl der Google Chrome, als auch der Microsoft Edge-Browser sollten sich, sofern betroffen, automatisch aktualisiert haben. Man kann auch versuchen, den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) zu aktualisieren. Die aktuelle Build des Chrome-Browsers für Windows lässt sich auch hier herunterladen.

Schwerer Bug in Chromium 143.0.7483.0

The Register berichtet zum 29. Oktober 2025 im Beitrag This security hole can crash billions of Chromium browsers, and Google hasn't patched it yet von einem schweren Bug im Chromium 143.0.7483.0. Sicherheitsforscher Jose Pino hat einen kritischen, derzeit nicht gepatchten Fehler in der Blink-Rendering-Engine des Chromium-Browsers gefunden. Der Bug kann ab der Version 143.0.7483.0 (und höher) ausgenutzt werden, um Chromium-basierte Browser innerhalb von Sekunden zum Absturz zu bringen.

Dies ließe sich für Denial-of-Service-Angriffe missbrauchen. Der Sicherheitsforscher hat einen Proof-of-Concept-Exploit namens "Brash" entwickelt, um die Sicherheitslücke zu demonstrieren.

Brash nutzt eine architektonische Schwachstelle in der Chromium Rendering-Engine Blink. Nach dem Testen des PoC auf 11 gängigen Browsern unter Android, macOS, Windows und Linux stellte Pino fest, dass es auf neun davon funktioniert und diese Browser innerhalb von 15 bis 60 Sekunden zum Absturz bringt. Betroffen sind laut The Register Chromium-Versionen 143.0.7483.0 und höher. Ich habe festgestellt, dass Brash auch auf niedrigeren Chromium-Versionen den Browser einfriert.