Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 5 (19.12.25):
Für openSUSE Backports SLE 15 SP7 steht ein Sicherheitsupdate für
‘chromium’ auf das Chromium 143.0.7499.146 Release bereit, um diese
Schwachstellen zu beheben. Es werden weitere Schwachstellen referenziert,
die bereits mit der Vorgängerversion behoben wurden.
Version 4 (17.12.25):
Für openSUSE Backports SLE 15 SP6 steht ein Sicherheitsupdate für
‘chromium’ bereit, um die beiden Schwachstellen zu beheben.
Version 3 (15.12.25):
Für CRBUG-466192044 wurde inzwischen der Bezeichner CVE-2025-14174
vergeben; die von Apple Security Engineering and Architecture (SEAR) und
Google Threat Analysis Group entdeckte Schwachstelle ermöglicht einem
Angreifer Zugriff auf Speicher außerhalb vorgesehener Begrenzungen (Out-
of-Bounds Memory Access).

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die
Schwachstelle CVE-2025-14174 in ihren ‘Known Exploited Vulnerabilities
Catalog’ aufgenommen.

Für openSUSE Leap 16.0 steht ein Sicherheitsupdate für ‘chromium’ bereit,
um die Schwachstellen zu beheben.

Für Debian 12 Bookworm (oldstable) steht Version 143.0.7499.109-1~deb12u1
und für Debian 13 Trixie (stable) steht Version 143.0.7499.109-1~deb13u1
von ‘chromium’ bereit, um die Schwachstellen zu beheben.

Für Fedora 42 steht das Paket ‘chromium-143.0.7499.109-2’ im Status
‘stable’ bereit und für Fedora 43 sowie EPEL 9 und 10.2 steht das Paket
‘chromium-143.0.7499.109-2’ im Status ‘testing’ bereit, um die
Schwachstellen zu beheben.
Version 2 (12.12.25):
Microsoft veröffentlicht die Microsoft Edge Version 143.0.3650.80,
basierend auf der aktuellen Chromium Version 143.0.7499.109/.110, um die
Schwachstellen zu beheben.
Version 1 (11.12.25):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe
durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien
erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller gibt bekannt, dass die Schwachstelle CRBUG-466192044 bereits
aktiv ausgenutzt wird.

Zur Behebung der Schwachstellen stellt Google die Chrome Version
143.0.7499.109 für Linux sowie 143.0.7499.109/.110 für macOS und Windows zur
Verfügung. Die neuen Versionen sollen in den nächsten Tagen bzw. Wochen
ausgerollt werden.

Die Chrome Extended Stable Channel Version 142.0.7499.235 für macOS und
Windows soll ebenfalls innerhalb der nächsten Tage bzw. Wochen ausgerollt
werden.

Die Chrome Version 143.0.7499.109 für Android wird über Google Play in den
nächsten Tagen zur Verfügung gestellt. Zusätzlich zu Stabilitäts- und
Performance-Verbesserungen umfasst das Release für Android die Behebung der
gleichen Schwachstellen, die auch in der Desktop Version behoben werden.

Über den App Store steht die Chrome Version 143.0.7499.108 für iOS bereit,
welche Stabilitäts- und Performance-Verbesserungen umfasst.

Wie üblich, stellt Google derzeit nur wenig Informationen zu den
Schwachstellen bereit und wartet mit der Veröffentlichung weiterer
Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue
Version vollzogen hat.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2025-3458]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (17.12.25):
Für openSUSE Backports SLE 15 SP6 steht ein Sicherheitsupdate für
‘chromium’ bereit, um die beiden Schwachstellen zu beheben.
Version 3 (15.12.25):
Für CRBUG-466192044 wurde inzwischen der Bezeichner CVE-2025-14174
vergeben; die von Apple Security Engineering and Architecture (SEAR) und
Google Threat Analysis Group entdeckte Schwachstelle ermöglicht einem
Angreifer Zugriff auf Speicher außerhalb vorgesehener Begrenzungen (Out-
of-Bounds Memory Access).

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die
Schwachstelle CVE-2025-14174 in ihren ‘Known Exploited Vulnerabilities
Catalog’ aufgenommen.

Für openSUSE Leap 16.0 steht ein Sicherheitsupdate für ‘chromium’ bereit,
um die Schwachstellen zu beheben.

Für Debian 12 Bookworm (oldstable) steht Version 143.0.7499.109-1~deb12u1
und für Debian 13 Trixie (stable) steht Version 143.0.7499.109-1~deb13u1
von ‘chromium’ bereit, um die Schwachstellen zu beheben.

Für Fedora 42 steht das Paket ‘chromium-143.0.7499.109-2’ im Status
‘stable’ bereit und für Fedora 43 sowie EPEL 9 und 10.2 steht das Paket
‘chromium-143.0.7499.109-2’ im Status ‘testing’ bereit, um die
Schwachstellen zu beheben.
Version 2 (12.12.25):
Microsoft veröffentlicht die Microsoft Edge Version 143.0.3650.80,
basierend auf der aktuellen Chromium Version 143.0.7499.109/.110, um die
Schwachstellen zu beheben.
Version 1 (11.12.25):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe
durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien
erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller gibt bekannt, dass die Schwachstelle CRBUG-466192044 bereits
aktiv ausgenutzt wird.

Zur Behebung der Schwachstellen stellt Google die Chrome Version
143.0.7499.109 für Linux sowie 143.0.7499.109/.110 für macOS und Windows zur
Verfügung. Die neuen Versionen sollen in den nächsten Tagen bzw. Wochen
ausgerollt werden.

Die Chrome Extended Stable Channel Version 142.0.7499.235 für macOS und
Windows soll ebenfalls innerhalb der nächsten Tage bzw. Wochen ausgerollt
werden.

Die Chrome Version 143.0.7499.109 für Android wird über Google Play in den
nächsten Tagen zur Verfügung gestellt. Zusätzlich zu Stabilitäts- und
Performance-Verbesserungen umfasst das Release für Android die Behebung der
gleichen Schwachstellen, die auch in der Desktop Version behoben werden.

Über den App Store steht die Chrome Version 143.0.7499.108 für iOS bereit,
welche Stabilitäts- und Performance-Verbesserungen umfasst.

Wie üblich, stellt Google derzeit nur wenig Informationen zu den
Schwachstellen bereit und wartet mit der Veröffentlichung weiterer
Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue
Version vollzogen hat.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2025-3458]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (15.12.25):
Für CRBUG-466192044 wurde inzwischen der Bezeichner CVE-2025-14174
vergeben; die von Apple Security Engineering and Architecture (SEAR) und
Google Threat Analysis Group entdeckte Schwachstelle ermöglicht einem
Angreifer Zugriff auf Speicher außerhalb vorgesehener Begrenzungen (Out-
of-Bounds Memory Access).

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die
Schwachstelle CVE-2025-14174 in ihren ‘Known Exploited Vulnerabilities
Catalog’ aufgenommen.

Für openSUSE Leap 16.0 steht ein Sicherheitsupdate für ‘chromium’ bereit,
um die Schwachstellen zu beheben.

Für Debian 12 Bookworm (oldstable) steht Version 143.0.7499.109-1~deb12u1
und für Debian 13 Trixie (stable) steht Version 143.0.7499.109-1~deb13u1
von ‘chromium’ bereit, um die Schwachstellen zu beheben.

Für Fedora 42 steht das Paket ‘chromium-143.0.7499.109-2’ im Status
‘stable’ bereit und für Fedora 43 sowie EPEL 9 und 10.2 steht das Paket
‘chromium-143.0.7499.109-2’ im Status ‘testing’ bereit, um die
Schwachstellen zu beheben.
Version 2 (12.12.25):
Microsoft veröffentlicht die Microsoft Edge Version 143.0.3650.80,
basierend auf der aktuellen Chromium Version 143.0.7499.109/.110, um die
Schwachstellen zu beheben.
Version 1 (11.12.25):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe
durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien
erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller gibt bekannt, dass die Schwachstelle CRBUG-466192044 bereits
aktiv ausgenutzt wird.

Zur Behebung der Schwachstellen stellt Google die Chrome Version
143.0.7499.109 für Linux sowie 143.0.7499.109/.110 für macOS und Windows zur
Verfügung. Die neuen Versionen sollen in den nächsten Tagen bzw. Wochen
ausgerollt werden.

Die Chrome Extended Stable Channel Version 142.0.7499.235 für macOS und
Windows soll ebenfalls innerhalb der nächsten Tage bzw. Wochen ausgerollt
werden.

Die Chrome Version 143.0.7499.109 für Android wird über Google Play in den
nächsten Tagen zur Verfügung gestellt. Zusätzlich zu Stabilitäts- und
Performance-Verbesserungen umfasst das Release für Android die Behebung der
gleichen Schwachstellen, die auch in der Desktop Version behoben werden.

Über den App Store steht die Chrome Version 143.0.7499.108 für iOS bereit,
welche Stabilitäts- und Performance-Verbesserungen umfasst.

Wie üblich, stellt Google derzeit nur wenig Informationen zu den
Schwachstellen bereit und wartet mit der Veröffentlichung weiterer
Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue
Version vollzogen hat.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2025-3458]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (12.12.25):
Microsoft veröffentlicht die Microsoft Edge Version 143.0.3650.80,
basierend auf der aktuellen Chromium Version 143.0.7499.109/.110, um die
Schwachstellen zu beheben.
Version 1 (11.12.25):
Neues Advisory

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um
beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe
durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien
erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Der Hersteller gibt bekannt, dass die Schwachstelle CRBUG-466192044 bereits
aktiv ausgenutzt wird.

Zur Behebung der Schwachstellen stellt Google die Chrome Version
143.0.7499.109 für Linux sowie 143.0.7499.109/.110 für macOS und Windows zur
Verfügung. Die neuen Versionen sollen in den nächsten Tagen bzw. Wochen
ausgerollt werden.

Die Chrome Extended Stable Channel Version 142.0.7499.235 für macOS und
Windows soll ebenfalls innerhalb der nächsten Tage bzw. Wochen ausgerollt
werden.

Die Chrome Version 143.0.7499.109 für Android wird über Google Play in den
nächsten Tagen zur Verfügung gestellt. Zusätzlich zu Stabilitäts- und
Performance-Verbesserungen umfasst das Release für Android die Behebung der
gleichen Schwachstellen, die auch in der Desktop Version behoben werden.

Über den App Store steht die Chrome Version 143.0.7499.108 für iOS bereit,
welche Stabilitäts- und Performance-Verbesserungen umfasst.

Wie üblich, stellt Google derzeit nur wenig Informationen zu den
Schwachstellen bereit und wartet mit der Veröffentlichung weiterer
Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue
Version vollzogen hat.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2025-3458]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html