Google Chrome 148: Neue Version schließt 127 Sicherheitslücken
In der Nacht zum Mittwoch hat Google den Chrome-Webbrowser auf den Versionszweig 148 gehievt. Der schließt 127 Sicherheitslücken.
(Bild: heise medien)
Mit der wöchentlichen Aktualisierung in der Nacht zum Mittwoch hat Google den Webbrowser Chrome auf den Versionszweig 148 gebracht. Zunächst blieb die Versionsankündigung leer – inzwischen ist klar: Darin haben die Entwickler 127 Sicherheitslücken gestopft.
In der Versionsankündigung reißen die Chrome-Programmierer wie üblich kurz an, welche Schwachstellen von externen IT-Forschern gemeldet wurden. Drei erreichen die Risikoeinstufung „kritisch“, für eine davon ist auch die Prämie für die Meldenden klar: 43.000 US-Dollar erhalten sie dafür. Es handelt sich dabei um einen Integer-Überlauf in der Rendering-Engine Blink (CVE-2026-7896, CVSS laut CISA 8.8, Risiko laut Google „kritisch“). Unter iOS haben die Entwickler sich um eine Use-after-free-Lücke gekümmert (CVE-2026-7897, CVSS laut CISA 7.5, Risiko laut Google „kritisch“). Das eingebaute Remote-Desktop-Tool Chromoting weist ebenfalls eine Use-after-free-Schwachstelle auf (CVE-2026-7898, CVSS laut CISA 8.8, Risiko laut Google „kritisch“).
Bei einer Use-after-free-Schwachstelle greift der Programmcode auf bereits freigegebene Ressourcen zu. Deren Inhalte sind dadurch undefiniert; Angreifer können solche Lücken oftmals zum Einschleusen und Ausführen von Schadcode missbrauchen. Dazu genügt bei Webbrowsern in der Regel das Anzeigen von sorgsam präparierten Webseiten. Weitere 31 Sicherheitslücken gelten als Risiko „hoch“, 66 als „mittlerer“ Bedrohungsgrad und 27 noch als „niedrige“ Risikostufe.
Videos by heise
Die Sicherheitslücken schließen die Chrome-Versionen 148.0.7778.120 für Android, 148.0.7778.96 für Linux und 148.0.7778.96/97 für macOS und Windows. Wer Chrome einsetzt, sollte rasch sicherstellen, dass der Webbrowser auf aktuellem Stand ist. Bislang scheint noch keine der Schwachstellen missbraucht zu werden, zumindest schreibt Google nichts davon.
Aktualisierung installieren
Die Updates lassen sich über den Versionsdialog anwenden. Nach Klick auf das Browser-Menü, das sich hinter dem Icon mit den drei aufeinander gestapelten Punkten verbirgt, und weiter über „Hilfe“ zu „Über Google Chrome“ öffnet er sich. Er zeigt den aktuell laufenden Softwarestand an und startet bei Verfügbarkeit die Installation der Aktualisierung. Unter Linux ist in der Regel die Softwareverwaltung der Distribution dafür aufzurufen. In den App-Stores der Mobiltelefone sind die neuen Fassungen in der Regel mit etwas Verzögerung verfügbar.
Da die Sicherheitslücken die Chromium-Basis betreffen, sollten auch Nutzerinnen und Nutzer der darauf aufbauenden Webbrowser wie Microsofts Edge schauen, ob für die Browser inzwischen eine Aktualisierung verfügbar ist.
Das Chrome-Update aus der vergangenen Woche hatte bereits 30 Schwachstellen ausgebessert. Die KI-Schwachstellensuche scheint sehr erfolgreich zu sein und den Entwicklern einige Arbeit zu bescheren. Am Ende bedeutet das jedoch, dass die Software deutlich sicherer wird.
(dmk)
