Google hat in der Nacht zum Samstag erneut ein Notfall-Update für den Webbrowser Chrome herausgegeben. Es bessert eine im Netz bereits attackierte Sicherheitslücke aus, die das Update vom Vortag offenbar nicht oder nicht korrekt geschlossen hat.

Bereits am Freitag dieser Woche hatte Google angekündigt, dass das außerplanmäßige Update zwei in freier Wildbahn attackierte Sicherheitslücken stopft. Jetzt haben die Entwickler jedoch eine weitere Aktualisierung außer der Reihe eingeschoben, die eine der vermeintlich bereits geschlossenen Sicherheitslücken (abermals) korrigiert. Es handelt sich dabei um die Schwachstelle in der Grafikbibliothek Skia. Durch das Verarbeiten und Rendern sorgsam präparierter Webseiten können Angreifer auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen und so fälschlicherweise Speicherinhalte schreiben (CVE-2026-3909, kein CVSS-Wert, Risiko laut Google „hoch“). Das ermöglicht oftmals, Schadcode einzuschleusen und auszuführen.

Google hat die ursprüngliche Versionsankündigung aus der Nacht zum Freitag inzwischen aktualisiert. Demnach listete die vorherige Version der Notiz die Schwachstelle CVE-2026-3909 auf, deren Korrektur jedoch erst in einem künftigen Update enthalten sein wird, führen die Entwickler dort nun aus. Zu den Gründen nennen sie keine weiteren Details. Auch zu den bereits laufenden Angriffen auf die Schwachstellen gibt es keine weitergehenden Informationen.

Aktualisierte Versionen jetzt installieren

Chrome-Nutzer und -Nutzerinnen sollten sicherstellen, dass sie die aktuelle Fassung des Webbrowsers einsetzen. Chrome 146.0.7680.119 für Android sowie 146.0.7680.80 für Linux, macOS und Windows stopfen nun auch das zweite attackierte Sicherheitsleck.

Der Versionsdialog findet die Updates und startet auch gleich deren Installation. Der öffnet sich nach Klick auf das Icon mit den drei übereinanderliegenden Punkten rechts von der Adressleiste und dem weiteren Klickpfad „Hilfe“ – „Über Google Chrome“. Unter Linux ist in der Regel die Softwareverwaltung der Distribution dafür zuständig. Der Play-Store von Google sollte das Update ebenfalls anbieten, auf zahlreichen Handy-Modellen kommen die Chrome-Updates jedoch mit deutlicher Verzögerung an; die Aktualisierung lässt sich dort auch nicht erzwingen.

Da andere auf dem Chromium-Code basierende Webbrowser wie Microsoft Edge die Schwachstelle mit hoher Wahrscheinlichkeit ebenfalls aufweisen, sollten Nutzerinnen und Nutzer dieser Alternativen ebenfalls prüfen, ob dafür Aktualisierungen verfügbar sind, und diese zeitnah anwenden.

(dmk)

Die seit Januar 2026 verfügbare AWS European Sovereign Cloud hat einen ersten Compliance-Meilenstein erreicht. Amazon Web Services (AWS) hat für die von regulären AWS-Regionen physisch und logisch getrennte Cloud-Plattform SOC-2- und C5-Type-1-Testat sowie sieben ISO-Zertifizierungen erlangt. Die Nachweise decken insgesamt 69 Services ab.

Wie AWS in einem Beitrag im AWS-Security-Blog erläutert, umfasst der SOC-2-Type-1-Bericht die Kriterien Sicherheit, Verfügbarkeit und Vertraulichkeit. Die Prüfer haben die Kontrollen zudem auf das hauseigene Sovereign Reference Framework (ESC-SRF) abgebildet, das Governance, Betrieb, Datenresidenz und Isolation abdeckt. Der C5-Type-1-Bericht attestiert die Konformität mit dem Cloud Computing Compliance Controls Catalogue des Bundesamts für Sicherheit in der Informationstechnik (BSI) – geprüft wurden Basis- und Zusatzkriterien.

Sieben ISO-Zertifizierungen auf einen Schlag

Neben den Attestierungsberichten hat AWS für die European Sovereign Cloud gleichzeitig sieben ISO-Zertifizierungen erlangt: ISO 27001:2022 (Informationssicherheit), ISO 27017:2015 (Cloud-Sicherheit), ISO 27018:2019 (Datenschutz in der Cloud), ISO 27701:2019 (Privacy-Management), ISO 22301:2019 (Business Continuity), ISO 20000-1:2018 (IT-Service-Management) sowie ISO 9001:2015 (Qualitätsmanagement). Sämtliche Berichte und Zertifikate stehen Kunden über AWS Artifact zur Verfügung.

Die Zertifizierungen sind vor allem für Behörden und regulierte Branchen in Europa relevant, die Cloud-Dienste unter strikten Auflagen zu Datenresidenz und Sicherheit nutzen müssen. Der C5-Katalog des BSI gilt in Deutschland als maßgeblicher Standard für die Bewertung von Cloud-Anbietern.

Separate Infrastruktur mit EU-Personal

Die European Sovereign Cloud ist als eigene Partition (aws-eusc) mit der Region eusc-de-east-1 in Brandenburg aufgesetzt. Sie verfügt über separate IAM-Konten, eigene Abrechnungssysteme in Euro und ein dediziertes Security Operations Center, das ausschließlich mit EU-Residenten besetzt ist. Es gibt keinen regionsübergreifenden Datenverkehr zu anderen AWS-Partitionen; auch Metadaten verbleiben innerhalb der EU-Infrastruktur.

Ob die vollständige Abkopplung der Sovereign Cloud in der Praxis den Anforderungen des BSI standhält, ist allerdings noch nicht unabhängig geprüft. Bei den jetzt vorgelegten Zertifizierungen handelt es sich um Type-1-Berichte, die das Design und die Implementierung der Kontrollen zu einem bestimmten Zeitpunkt bewerten. Die aufwendigeren Type-2-Audits, bei denen die operative Wirksamkeit über einen längeren Zeitraum nachgewiesen wird, stehen noch aus.

AWS bezeichnete die Zertifizierungen als Beleg dafür, dass sich die Firma um das Vertrauen der Kunden bemühe. Das Unternehmen hat angekündigt, das Compliance-Portfolio für die European Sovereign Cloud kontinuierlich auszubauen.

(fo)

Google hat die Übernahme von Wiz für 32 Milliarden US-Dollar (Fast 28 Milliarden Euro) abgeschlossen. Es ist der größte Kauf in der Konzerngeschichte. Den Vollzug des Erwerbs der US-israelischen Cloud-Sicherheitsfirma gab der Konzern diese Woche bekannt.

Die Alphabet-Tocherfirma Google erklärt die Übernahme als eine „Investition von Google Cloud zur Verbesserung der Cloud-Sicherheit“. Die Produkte von Wiz würden auch weiterhin funktionieren und auch für alle wichtigen Coud-Plattformen, etwa Microsoft Azure oder Amazon Web Services verfügbar bleiben, erläutert der Konzern zudem.

Bereits vor einem Jahr hat Google die Übernahme von Wiz angekündigt. Die Unternehmen hatten sich im März des vergangenen Jahres geeinigt und eine Übernahmevereinbarung unterzeichnet. Google hatte Wiz zuvor 30 Milliarden US-Dollar geboten.

Es ist nicht der erste Versuch des Konzerns, Wiz zu übernehmen. Schon 2024 haben die Unternehmen über einen möglichen Kauf verhandelt. Wiz hatte das Angebot über 23 Milliarden US-Dollar damals abgelehnt. 2022 hat Google zudem die IT-Sicherheitsfirma Mandiant für 5,4 Milliarden US-Dollar erworben.

(mho)