Webbrowser Chrome: Update stopft zehn teils kritische Sicherheitslücken

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Von vielen unbemerkt hat Google für den Webbrowser Chrome in der Nacht zum Mittwoch ein Update veröffentlicht. Zunächst war die Versionsankündigung leer. In der Nacht zum Donnerstag haben die Entwickler jedoch nachgelegt – es handelt sich um ein wichtiges Sicherheitsupdate.

In der Releaseankündigung schreibt Google inzwischen, dass die Aktualisierung gleich zehn Sicherheitslücken abdichtet. Davon erreichen drei sogar den Schweregrad „kritisch“. Das schlägt sich auch in der gezahlten Belohnung für die Melder nieder: einmal fließen 33.000 US-Dollar, das andere Mal 32.000 US-Dollar; im dritten Fall knobelt das Unternehmen den Betrag noch aus.

Die schwerwiegendsten Lücken betreffen etwa das WebGL-Backend ANGLE. Angreifer aus dem Netz können mit manipulierten Webseiten einen Ganzzahl-Überlauf darin missbrauchen und dadurch auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen (CVE-2026-3536, noch kein CVSS-Wert, Risiko „kritisch“). In PowerVR von Chrome unter Android gibt es nicht näher erläuterte Probleme mit dem Lebenszyklus von Objekten, was in einem missbrauchbaren Speicherfehler auf dem Heap mündet (CVE-2026-3537, noch kein CVSS-Wert, Risiko „kritisch“). Außerdem findet sich in der für nahezu alle Grafikoperationen genutzten Komponente Skia ein Ganzzahlüberlauf mit den bekannten Folgen (CVE-2026-3538, kein CVSS-Wert, Risiko „kritisch“).

Google Chrome: Codeschmuggel-Lücken

Derartige Lücken erlauben oftmals das Ausführen von eingeschleustem Schadcode, was auch die Risikoeinschätzung widerspiegelt. Um die Lücken zu attackieren, muss etwa eine sorgsam präparierte Webseite mit dem Webbrowser angezeigt werden. Immerhin schreibt Google nichts davon, dass die Lücken bereits in freier Wildbahn attackiert würden – das nötigte das Unternehmen etwa Mitte Februar dazu, ein Notfall-Update außer der Reihe zu veröffentlichen.

Sieben weitere Sicherheitslücken haben vergleichbare Folgen, sind aber offenbar schwieriger zu missbrauchen. Deshalb haben die Chromium-Entwickler ihnen als Risikobewertung lediglich das Risiko „hoch“ attestiert. Dennoch sollten Nutzer von Chrome und anderen Chromium-basierten Webbrowsern sicherstellen, dass sie die jüngsten, fehlerkorrigierten Fassungen der Webbrowser einsetzen. Das sind Chrome 145.0.7632.159 für Android und Linux, Version 146.0.7680.38 für iOS sowie Chrome 145.0.7632.159/160 für macOS und Windows. Die Extended-Stable-Fassung ist derzeit in Fassung 144.0.7559.236 für macOS und Windows auf aktuellem Stand.

Updates lassen sich etwa durch den Klick auf das Symbol mit den drei gestapelten Punkten rechts von der Adressleiste und dem weiteren Pfad über „Hilfe“ – „Über Google Chrome“ finden und gegebenenfalls anwenden. Unter Linux ist dazu in der Regel der Aufruf der Softwareverwaltung der eingesetzten Distribution für die Update-Verteilung aufzurufen. Unter Android und iOS kommen die Aktualisierungen über die jeweiligen App-Stores – steht es dort noch nicht bereit, hilft nur abwarten. Erzwingen lässt sich die Aktualisierung dort nicht. In Kürze dürften auch Aktualisierungen für andere Chromium-basierte Webbrowser wie Microsofts Edge erscheinen, die Nutzer und Nutzerinnen zeitnah installieren sollten.

(dmk)