Google hat in der Nacht zum Donnerstag den Webbrowser Chrome aktualisert. Mit dem Update stopft der Hersteller auch eine bereits in freier Wildbahn attackierte Sicherheitslücke.

Das erklärt Google in der Versionsankündigung. „Google ist bekannt, dass ein Exploit in freier Wildbahn existiert“ schreiben die Entwickler dort und nennen zwar eine Issue-Nummer, halten sich mit etwaigen Details zur Lücke jedoch zurück. Lediglich die Einstufung des Risikos als „hoch“ nennen sie, jedoch nicht einmal die betroffene Komponente des Browsers. Eine CVE-Nummer gibt es offenbar ebenfalls noch nicht.

Insgesamt drei Sicherheitslücken

Zudem gibt es zwei weitere Schwachstellen, die das Release ausbessert. Angreifer können eine Use-after-free-Lücke im Passwort-Manager ausnutzen, was oftmals das Einschleusen und Ausführen von Schadcode ermöglicht. Das scheint jedoch aufgrund der Bedrohungseinschätzung nicht allzu leicht zu klappen (CVE-2025-14372, Risiko „mittel“). Außerdem können bösartige Akteure offenbar eine „unangemessene Implementierung“ in der Toolbar für nicht näher genannte schädliche Aktionen ausnutzen (CVE-2025-14373, Risiko „mittel“).

Chrome-Nutzer und -Nutzerinnen sollten sicherstellen, dass sie die neuen Softwareversionen einsetzen.

Software-Stand prüfen

Die Fehler bessert Google in Chrome 143.0.7499.109 für Android, 143.0.7499.109 für Linux sowie 143.0.7499.109/.110 für macOS und Windows aus. Zudem steht als Extended-Stable-Fassung der Build 142.0.7499.235 für macOS und Windows bereit. Auf der Chromium-Basis aufsetzende Browser wie Microsofts Edge dürften in Kürze ebenfalls in fehlerbereinigter Version vorliegen.

Ob die Software bereits auf aktuellem Stand ist, verrät der Versionsdialog. Der ist über das Browser-Menü, das sich in Chrome durch Klick auf das Symbol mit den drei aufeinander gestapelten Punkten rechts von der Adressleiste öffnet, und dem weiteren Weg über „Hilfe“ – „Über Google Chrome“ erreichbar.

Ist eine Aktualisierung verfügbar, startet das den Update-Vorgang und fordert im Anschluss zum nötigen Browser-Neustart auf. Unter Linux ist in der Regel der Aufruf der distributionseigenen Softwareverwaltung für die Aktualisierung nötig.

Zuletzt hatte Google Mitte November eine Schwachstelle in Chrome stopfen müssen, die bereits von Angreifern aus dem Netz attackiert wurde.

(dmk)

Im Packprogramm WinRAR klafft bis zur Version 7.12 Beta 1 eine Sicherheitslücke, die Angreifern das Einschleusen von Schadcode erlaubt. Attacken auf diese Lücken wurden nun beobachtet. Wer WinRAR einsetzt, sollte daher zügig auf eine neuere Version aktualisieren.

Die US-amerikanische IT-Sicherheitsbehörde CISA hat die Schwachstelle in WinRAR in der Nacht zum Mittwoch in den „Known Exploited Vulnerabilities“-Katalog aufgenommen, also die Sammlung der bekannt angegriffenen Sicherheitslücken. Die Lücke wurde gegen Ende Juni des Jahres bekannt, als WinRAR sie in der Version 7.12b1 geschlossen hat.

Schwachstelle erlaubt Einschleusen von Schadcode

WinRAR beschrieb die Sicherheitslücke: „Beim Extrahieren von Dateien kann WinRAR, RAR, UnRAR, portable UnRAR sowie die UnRAR.dll dazu gebracht werden, einen Pfad zu nutzen, der in einem manipulierten Archiv vorgegeben wird, anstatt einen Nutzer-vorgegebenen Pfad zu verwenden“. Die Zero-Day-Initiative von Trend Micro (ZDI) präzisierte hingegen: „Der spezielle Fehler besteht im Umgang mit Pfaden innerhalb von Archiv-Dateien. Ein präparierter Dateipfad kann dazu führen, dass der Prozess in nicht vorgesehene Verzeichnisse wandert (traverse). Angreifer können das missbrauchen, um Schadcode im Kontext des aktuellen Users auszuführen“ (CVE-2025-6218, CVSS 7.8, Risiko „hoch“).

Weder Rarlabs noch ZDI präzisieren, welche Dateitypen betroffen sind. Jedoch können Angreifer das offenbar mit manipulierten Dateien ausnutzen – und machen das auch. Die CISA verrät jedoch nicht, wie Angriffe aussehen und in welchem Umfang sie stattfinden. Daher gibt es auch keine Hinweise dazu, wie sich herausfinden lässt, ob man selbst betroffen ist. Abhilfe schafft auf jeden Fall die Aktualisierung auf eine neuere Version des Packprogramms für Windows.

Auf der Download-Seite von WinRAR steht als aktuelle stabile Version WinRAR 7.13 zum Herunterladen bereit. Wer WinRAR einsetzt, sollte mindestens den Stand 7.12b1, besser jedoch die aktuelle stabile Fassung einsetzen.

(dmk)

Der Begriff Cyber-Resilienz gerät vermehrt in den Fokus aktueller Projekte der IT-Sicherheit. So zielt die am 6. Dezember 2025 in Kraft getretene Netzwerk- und Informationssicherheitsrichtlinie NIS-2 explizit darauf ab, die Resilienz der Kritischen Infrastruktur zu erhöhen. Der Cyber Resilience Act (CRA), der in genau zwei Jahren am 11. Dezember 2027 vollumfänglich verpflichtend wird, trägt die Resilienz sogar im Namen. Dabei geht es eigentlich darum, Produkte im IT-Umfeld im weitesten Sinne sicher zu gestalten. Da geht es mit der Sicherheit und der Resilienz bereits munter durcheinander.

Überhaupt werden in der IT die Begriffe Security und Resilienz oft parallel oder sogar austauschbar verwendet. Dabei gibt es eigentlich eine klare Unterscheidung. Die IT-Sicherheit bezieht sich primär auf das Vorfeld möglicher Angriffe. Es geht vorwiegend darum, Angriffe zu verhindern oder zumindest deutlich zu erschweren. Resilienz hingegen kommt dann ins Spiel, wenn der Angriff bereits erfolgt ist und man den Betrieb trotzdem weiterführen oder zumindest möglichst schnell wieder aufnehmen muss. Dazu gehört insbesondere die Fähigkeit, sich auf Angriffe – oder auch Unfälle oder Naturkatastrophen – einzustellen.

Trotzdem!

„Cyber-Resilienz bedeutet, trotz Angriffen weiter arbeitsfähig zu bleiben“, erklärt Samira Taaibi vom Fraunhofer IEM. Taaibi leitet eine Studie zum besseren Verständnis von Resilienz und wie man sie erreicht. Eine ihrer ersten Erkenntnisse dazu ist es, dass es immer noch kein einheitliches Verständnis dessen gibt, was Cyber-Resilienz tatsächlich bedeutet und wie man sie aktiv verbessert. Da gibt es zwar die NIST-Definition, an der sich auch Fraunhofer IEM orientiert:

Die Fähigkeit, widrige Umstände, Belastungen, Angriffe oder Kompromittierungen von Systemen, die Cyberressourcen nutzen oder durch diese ermöglicht werden, zu antizipieren, ihnen standzuhalten, sich von ihnen zu erholen und sich an sie anzupassen.

Doch das hilft Unternehmen oder konkret Software-Entwicklern, die ihre Produkte resilienter machen wollen, wenig weiter. Kompakter formuliert, kann man Cyber-Resilienz so definieren:

Die Fähigkeit einer IT-Infrastruktur-Einheit, ihre Aufgabe trotz Störungen und Angriffen weiter zu erfüllen

Wie funktioniert Resilienz?

Man kann die Umsetzung von Resilienz dann in vier grundlegenden Bereiche unterteilen.

1. Antizipieren: Risiken und mögliche Angriffswege frühzeitig erkennen, sich auf Störungen vorbereiten und entsprechende Maßnahmen einplanen.
2. Widerstehen: Angriffe oder Störungen abfedern, sodass der Betrieb nicht oder nur eingeschränkt beeinträchtigt wird.
3. Wiederherstellen: Dienste nach einem erfolgreichen Angriff schnell und kontrolliert zurück in einen funktionsfähigen Zustand bringen.
4. Anpassen: Aus Vorfällen lernen und Systeme so weiterentwickeln, dass ähnliche Angriffe künftig schwerer erfolgreich sind.

Da wird bereits klar, dass es hier um keine statische Eigenschaft geht, die man einmal sicherstellt und dann vergessen kann. Während man einem Produkt die Widerstandsfähigkeit etwa im Rahmen von „Secure by Design“ mit auf den Weg geben kann, erfordert spätestens die Reaktion auf akute Vorfälle in der Regel auch Maßnahmen nach der Inbetriebnahme. Da braucht es dann etwa regelmäßig Mitigations oder Patches für neu entdeckte Sicherheitsprobleme. Und Anpassung benötigt einen Mechanismus, auf die Umgebung und deren Veränderungen so zu reagieren, dass das System insgesamt resistenter wird.

Doch darüber, wie Resilienz in der IT dann ganz praktisch funktioniert und vor allem wie man sie gezielt verbessert, gibt es noch keinen allgemeinen Konsens. An diesem Punkt ist noch Forschung nötig, um das Verständnis zu verbessern – wie Taaibis aktuelle Studie im Rahmen des Forschungsprojekts CyberResilience.nrw. In der geht es darum, wie es um die Cyber-Resilienz in deutschen Organisationen steht; Interessierte können daran übrigens noch bis zum 31.12.2025 teilnehmen.

(ju)