Google Chrome Warnung: Kritische Chrome-Sicherheitslücke CVE-2025-10200 - Hintergründe und Schutzmaßnahmen
• 15.09.25 Die von Google veröffentlichte CVE-2025-10200 stellt eine der gravierendsten Sicherheitslücken der letzten Monate im Chrome-Browser dar. In der
|
Kritische Chrome-Sicherheitslücke CVE-2025-10200 - Analyse und Schutz
Die CVE-2025-10200 ist ein eindrucksvolles Beispiel dafür, wie komplexe Browser-Technologien wie Service Worker zur Zielscheibe hochentwickelter Angriffe werden können. Durch die schnelle Reaktion von Google und die Veröffentlichung von Sicherheitsupdates wurde das Risiko erheblich reduziert. Dennoch liegt es in der Verantwortung jedes Nutzers, die eigenen Systeme aktuell zu halten. Nur so lässt sich verhindern, dass kritische Sicherheitslücken wie diese ausgenutzt werden.
|
|
Kritische Chrome-Sicherheitslücke CVE-2025-10200 - Analyse und Schutz --Bild: © Tarifrechner.de |
Hintergrund zu CVE-2025-10200
Die Schwachstelle CVE-2025-10200 betrifft die Serviceworker-Komponente von Google Chrome. Service Worker sind Skripte, die im Hintergrund laufen und Funktionen wie Caching, Push-Benachrichtigungen und Offline-Unterstützung ermöglichen. Der entdeckte Use-after-free-Fehler erlaubt es Angreifern, auf bereits freigegebenen Speicher zuzugreifen. Dies kann zu Speicherkorruption führen und im schlimmsten Fall die Ausführung von beliebigem Code ermöglichen.
Technische Details
Bei einem Use-after-free-Fehler wird ein Speicherbereich nach seiner
Freigabe weiterverwendet. Angreifer können diesen Zustand ausnutzen, um
gezielt manipulierte Daten einzuschleusen. In der
Weitere betroffene Schwachstellen
Neben CVE-2025-10200 hat Google auch CVE-2025-10201 geschlossen. Diese Lücke betrifft die Mojo-IPC-Komponente und wird als "hoch" eingestuft. Beide Schwachstellen wurden im Rahmen des Chromium-Projekts entdeckt und mit Sicherheitsupdates behoben.
Schweregrad und Bug-Bounty
Die Einstufung von CVE-2025-10200 als "kritisch" unterstreicht die Dringlichkeit. Google hat für den Fund dieser Lücke eine Bug-Bounty in Höhe von 43.000 US-Dollar vergeben. Für CVE-2025-10201 wurden 30.000 US-Dollar ausgelobt.
Betroffene Versionen und Plattformen
Die Sicherheitslücke betrifft Chrome auf Windows, macOS, Linux, Android und iOS. Google hat folgende abgesicherte Versionen veröffentlicht:
-
• Windows: 140.0.7339.127 / 140.0.7339.128
• macOS: 140.0.7339.132 / 140.0.7339.133
• Linux: 140.0.7339.127
• Android: 140.0.7339.123
• iOS: 140.0.7339.122
Auch andere Browser betroffen
Da viele Browser auf der Chromium-Engine basieren, sind auch Microsoft Edge, Brave, Opera und Vivaldi potenziell betroffen. Die Hersteller haben bereits Updates angekündigt oder veröffentlicht.
Risiken bei Nicht-Aktualisierung
Wird der Chrome-Browser nicht aktualisiert, besteht ein hohes Risiko für Remote Code Execution. Angreifer könnten Schadcode einschleusen, Daten stehlen oder das gesamte System übernehmen. Besonders gefährlich ist die Möglichkeit sogenannter Drive-by-Exploits, bei denen allein der Besuch einer manipulierten Website genügt.
Warum Service Worker ein attraktives Ziel sind
Service Worker laufen unabhängig vom aktiven Tab und können im Hintergrund Daten verarbeiten. Dadurch bieten sie Angreifern eine persistente Angriffsfläche, die schwer zu überwachen ist. In Kombination mit einem Use-after-free-Fehler steigt die Wahrscheinlichkeit einer erfolgreichen Ausnutzung erheblich.
Empfohlene Schutzmaßnahmen
1. Sofortiges Update durchführen
Über die Funktion "Hilfe" -> "Über Google Chrome" kann die aktuelle Version geprüft und ein Update gestartet werden. Nach der Installation ist ein Neustart des Browsers erforderlich.
2. Mobile Geräte aktualisieren
Auch Android- und iOS-Versionen von Chrome sollten über den Google Play Store bzw. Apple App Store aktualisiert werden.
3. Andere Chromium-Browser prüfen
Nutzer von Edge, Brave, Opera oder Vivaldi sollten ebenfalls die neueste Version installieren, um vor CVE-2025-10200 geschützt zu sein.
4. Sicherheitsbewusstsein stärken
Regelmäßige Updates, das Meiden verdächtiger Websites und die Nutzung von Sicherheits-Plugins können das Risiko zusätzlich reduzieren.
Wichtiger Hinweis
Technische Details zu CVE-2025-10200 werden von Google bewusst zurückgehalten, um eine Ausnutzung zu erschweren. Administratoren und Endnutzer sollten die offiziellen Sicherheitsbulletins verfolgen und Updates zeitnah einspielen.
BSI warnt vor Schadsoftware auf IoT-Geräten: Die Bedrohung durch BadBox
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit Juli 2025 in einer offiziellen Mitteilung vor vorinstallierter Schadsoftware auf verschiedenen IoT-Geräten. Die Malware mit dem Namen BadBox soll bereits beim ersten Einschalten aktiv werden und Nutzer unbemerkt ausspionieren sowie in kriminelle Machenschaften verwickeln.
Die Warnung des BSI zur BadBox-Malware zeigt, wie wichtig eine sorgfältige Auswahl und regelmäßige Prüfung von IoT-Geräten ist. In Zeiten zunehmender Digitalisierung sollten Verbraucher nicht nur auf den Preis, sondern vor allem auf Sicherheit und Vertrauen bei der Gerätewahl achten. Der Schutz der Privatsphäre beginnt beim ersten Einschalten des Geräts und endet nicht beim günstigen Kauf.
|
|
Bundesamt (BSI) warnt vor Schadsoftware auf IoT-Geräten --Bedrohung durch BadBox --Bild: Tarifrechner.de |
Was ist BadBox?
Die Malware BadBox ist ein komplexes, multifunktionales Schadprogramm, das auf Geräten mit veralteten Versionen des Android Open Source Project (AOSP) installiert wurde. Sie nutzt offene Sicherheitslücken und wird meist auf billigen Geräten asiatischer Herkunft gefunden.
Funktionsweise der Malware
BadBox aktiviert sich bereits beim ersten Einschalten des Geräts und stellt eine Verbindung zu sogenannten Command-and-Control-Servern her. Die Malware ermöglicht folgende Funktionen:
-
• Werbebetrug (Ad-Fraud): Automatisiertes Anklicken von Werbeanzeigen zur Erzeugung falscher Umsätze
• Erstellung von Fake-Accounts: Nutzung des Geräts zur Einrichtung von gefälschten Messenger- und E-Mail-Konten
• Residential Proxies: Nutzung der Internetverbindung für illegale Aktivitäten unter der IP-Adresse des Nutzers
• Nachladen weiterer Malware: Installation zusätzlicher Schadsoftware für tiefergehende Angriffe
• Netzwerkzugriff: Einfallstor für Angreifer in das gesamte Heimnetzwerk
Welche Geräte sind betroffen?
Betroffen sind insbesondere günstige digitale Bilderrahmen, Streaming-Boxen, Tablets und Mediaplayer, die über Online-Plattformen wie eBay oder Amazon Marketplace verkauft werden. Viele dieser Geräte stammen von Herstellern, die keine regelmäßigen Sicherheitsupdates anbieten.
Typische Merkmale verdächtiger Geräte
-
• Android-Version unter 7.0 (meist ohne Google-Dienste)
• Kein Zugriff auf den offiziellen Google Play Store
• Fehlende Update-Funktion oder Support-Webseite
• Günstiger Preis (unter 30 Euro) bei gleichzeitig hoher Gerätefunktionalität
Maßnahmen des BSI
Das BSI hat gemäß §7c des BSI-Gesetzes eine sogenannte Sinkholing-Maßnahme eingeleitet. Dabei wird die Kommunikation der infizierten Geräte mit den Kontrollservern der Täter unterbrochen, indem der Datenverkehr zu sicheren Servern umgeleitet wird. Dadurch können weitere Schadaktivitäten gestoppt und Datenverluste minimiert werden.
Kooperation mit internationalen Partnern
Um die Infrastruktur der Angreifer zu identifizieren, arbeitet das BSI eng mit Security-Firmen und internationalen Strafverfolgungsbehörden zusammen. Die Malware BadBox wurde durch intensive Analyse der Sicherheitsforscher von Human Security entdeckt und dokumentiert.
Was können Verbraucher tun?
Um sich vor vorinstallierter Schadsoftware auf IoT-Geräten zu schützen, empfiehlt das BSI folgende Maßnahmen:
1. Geräte nur aus vertrauenswürdigen Quellen kaufen
Unbekannte Hersteller und Billiggeräte mit Android ohne Google-Dienste sollten gemieden werden.
2. Geräte- und Android-Version überprüfen
Veraltete Betriebssysteme bieten häufig keine ausreichenden Sicherheitsmechanismen.
3. Verdächtige Netzwerkaktivitäten beobachten
Nutzen Sie Tools wie Router-Logfiles oder Netzwerk-Monitoring, um ungewöhnlichen Traffic zu identifizieren.
4. Im Zweifel: Gerät vom Internet trennen
Eine physische Trennung vom Netz ist eine schnelle Sofortmaßnahme gegen Schadsoftware-Kommunikation.
Die Warnung des BSI zur BadBox-Malware zeigt, wie wichtig eine sorgfältige Auswahl und regelmäßige Prüfung von IoT-Geräten ist. In Zeiten zunehmender Digitalisierung sollten Verbraucher nicht nur auf den Preis, sondern vor allem auf Sicherheit und Vertrauen bei der Gerätewahl achten. Der Schutz der Privatsphäre beginnt beim ersten Einschalten des Geräts - und endet nicht beim günstigen Kauf.
Cybersicherheit 2025: Deutschland schützt sich immer weniger vor Cyberkriminalität
Der aktuelle Cybersicherheitsmonitor 2025 des Bundesamts für Sicherheit in der Informationstechnik (BSI) offenbart ein beunruhigendes Bild: Immer weniger Bundesbürger ergreifen aktive Maßnahmen zum Schutz ihrer digitalen Identität. Das trotz steigender Bedrohung durch Cyberkriminalität, Hackerangriffe und
Die neuesten Zahlen des
Cybersicherheitsmonitors
sind ein Weckruf: Es ist höchste Zeit, dass Bürgerinnen und Bürger ihre
digitale Eigenverantwortung wieder ernster nehmen. Wer regelmäßig
|
|
Cybersicherheit 2025: Deutschland schützt sich immer weniger vor Cyberkriminalität --Bild: pixabay |
Weniger Schutzmaßnahmen trotz wachsender Bedrohung
Die Studie zeigt: Während die Angriffe komplexer und gezielter werden, geht die Bereitschaft zur Selbstschutz im digitalen Raum spürbar zurück.
-
• Nur 44 % nutzen noch Zwei-Faktor-Authentisierung - 6 % weniger als 2023
• Nur 36 % haben automatische Updates aktiviert
• 36 % führen regelmäßige
• 2 % der Befragten erlitten finanziellen Schaden durch Cyberangriffe
Warum lassen viele beim digitalen Schutz nach?
Ein möglicher Grund ist die sogenannte digitale Ermüdung. Viele Nutzer empfinden Sicherheitsmaßnahmen wie das ständige Aktualisieren von Software oder die Verwendung von Zwei-Faktor-Verfahren als unbequem. Hinzu kommt ein trügerisches Gefühl von Sicherheit - etwa durch Virenscanner, die allein jedoch keinen umfassenden Schutz bieten.
Die größten Gefahren im Netz
Mit der wachsenden Digitalisierung steigt die Vielfalt der Cyberbedrohungen. Zu den häufigsten Gefahren zählen:
1. Phishing und Social Engineering
Phishing-E-Mails versuchen, sensible Daten wie Passwörter oder Kreditkartendaten zu erschleichen - oft im Namen bekannter Institutionen. Social Engineering nutzt psychologische Manipulation, um Menschen zur Preisgabe vertraulicher Informationen zu bewegen.
2. Ransomware
Erpressertrojaner verschlüsseln Daten und fordern Lösegeld für deren Freigabe. Besonders Unternehmen, aber zunehmend auch Privathaushalte sind betroffen.
3. Identitätsdiebstahl
Cyberkriminelle nutzen gestohlene Daten, um auf fremde Konten zuzugreifen, Kredite aufzunehmen oder in fremdem Namen zu handeln.
Wie man sich effektiv schützen kannst
Das BSI und die Polizei haben neue Checklisten für den Ernstfall veröffentlicht, die Schritt für Schritt durch Situationen wie Virenbefall, Datenklau oder Betrug beim Onlinebanking führen. Hier einige zentrale Empfehlungen:
1. Aktuelle Software verwenden
Installieren Sie regelmäßig alle
2. Starke Passwörter und Passwortmanager nutzen
Vermeiden Sie einfache oder mehrfach verwendete Passwörter. Ein Passwortmanager hilft ihnen, sichere Kombinationen zu erstellen und zu verwalten.
3. Zwei-Faktor-Authentisierung aktivieren
Diese zusätzliche Sicherheitsebene schützt ihre Konten selbst dann, wenn das Passwort kompromittiert wurde.
4. Wachsam bleiben
Öffnen Siekeine Anhänge oder Links von unbekannten Absendern. Seien Sie kritisch bei Anrufen, die zur Herausgabe sensibler Daten drängen.
5. Backups anlegen
Regelmäßige Datensicherungen ermöglichen ihnen im Schadensfall eine schnelle Wiederherstellung - ohne auf Erpresser einzugehen.
Digitale Unabhängigkeit: Informatiker kritisieren Cloud-Kooperation zwischen Bundesamt (BSI) und Google
Die Gesellschaft für Informatik (GI) hat scharfe
Kritik an der Zusammenarbeit zwischen dem Bundesamt für Sicherheit in der
Informationstechnik (BSI) und
Die Cloud-Kooperation zwischen dem BSI und Google bleibt ein kontroverses Thema. Während das BSI die Zusammenarbeit als Schritt in Richtung moderner Technologien sieht, warnt die Gesellschaft für Informatik vor den langfristigen Risiken. Es bleibt abzuwarten, wie sich die Diskussion entwickelt und welche Maßnahmen ergriffen werden, um die digitale Souveränität Deutschlands zu schützen.
|
|
Nationale Sicherheit: Informatiker kritisieren Cloud-Kooperation zwischen |
Dabei ist Google bekannt, durch jede Menge Gerichtsverfahren und Verurteilungen sich nicht an die Europäischen Gesetze zu halten, was den Datenschutz, die Pressefreiheit und Gewerbefreiheit für europäische Unternehmen betrifft.
Die Gesellschaft für Informatik schreibt dazu in ihrem Blog:
"Bestimmen zukünftig Trump und Google über unsere IT-Sicherheit? Die letzten
Wochen haben gezeigt, welche ernst zu nehmenden Bedrohungsszenarien durch die
digitale Abhängigkeit von US-Monopolisten entstanden sind. Leider ist davon
auszugehen, dass diese 'Killswitches' nicht nur ein fatales
Erpressungspotenzial darstellen, sondern auch direkt oder indirekt vom
US-Präsidenten sowie US-amerikanischen Behörden zu Lasten der deutschen
Wirtschaft und Gesellschaft bedient werden."
Hintergrund der Kooperation
Im Februar 2025 haben das BSI und Google eine strategische Vereinbarung unterzeichnet, um sichere und souveräne Cloud-Lösungen für Behörden zu entwickeln. Ziel ist es, den öffentlichen Sektor mit modernen Technologien auszustatten, die den deutschen und europäischen Datenschutzbestimmungen entsprechen. Doch diese Zusammenarbeit stößt auf erheblichen Widerstand.
Die Kritik der Gesellschaft für Informatik
Die Gesellschaft für Informatik sieht in der Kooperation eine Gefahr für die digitale Souveränität Deutschlands. Laut der GI könnten durch die Zusammenarbeit Abhängigkeiten von US-amerikanischen Unternehmen entstehen, die langfristig die Unabhängigkeit Deutschlands gefährden. Besonders kritisch wird der Einfluss des Cloud Act gesehen, der US-Behörden Zugriff auf Daten ermöglicht, selbst wenn diese in Deutschland gespeichert sind.
Weitere Bedenken
Zusätzlich zur Abhängigkeit von Google bemängelt die GI die mangelnde Transparenz der Vereinbarung. Es sei unklar, wie die Daten verarbeitet und geschützt werden. Auch die Benachteiligung europäischer Unternehmen durch die Zusammenarbeit wird als problematisch angesehen.
Die Position des BSI
Das BSI verteidigt die Kooperation und betont, dass die Zusammenarbeit mit Google dazu dient, sichere und souveräne Cloud-Lösungen zu entwickeln. Laut BSI-Präsidentin Claudia Plattner sollen "souveräne Kontrollschichten" wie Verschlüsselung und nationale Datenhaltung die Sicherheit gewährleisten. Dennoch bleibt die Kritik der Informatiker bestehen.
Alternativen zur Kooperation
Die Gesellschaft für Informatik fordert, dass Deutschland stärker auf europäische Lösungen setzt. Open-Source-Software und nationale Cloud-Anbieter könnten eine Alternative darstellen, um die digitale Souveränität zu wahren.
Die Rolle der Politik
Die GI appelliert an die Politik, klare Rahmenbedingungen für die Zusammenarbeit mit internationalen Unternehmen zu schaffen. Nur so könne sichergestellt werden, dass die Interessen Deutschlands gewahrt bleiben.
Damit Ihnen in Zukunft keine aktuellen News oder Spar-Angebote entgehen, können Sie sich auch bei unserem kostenlosen Newsletter anmelden. Einmal in der Woche bekommen Sie dann eine Übersicht an Aktionen und wichtigen Änderungen im Telefonmarkt. Noch schneller sind Sie aber via X (ehemals Twitter) und Facebook informiert.
| Verwandte Nachrichten: |
|
|
Auf dieser Seite gibt es Affilate Links, die den Preis nicht beeinflussen. Damit wird der hochwertige Journalismus kostenfrei angeboten |
|
