Chrome 145 bringt JPEG XL zurück

Google hat Chrome 145 für Windows, macOS und Linux veröffentlicht. Die Version umfasst einige kleinere neue Features und schließt elf Sicherheitslücken, darunter drei mit hoher Priorität. Vor allem aber bringt die neue Version des Browsers den Support des Bildformats JPEG XL zurück, dem sich Google offiziell lange verweigert hatte.

JPEG XL: Von der Entfernung zur Rückkehr

Google hatte die Unterstützung für das Format Anfang 2023 in Chrome 110 entfernt – mit der Begründung, es gebe zu wenig Interesse im Ökosystem und unzureichende Vorteile gegenüber bestehenden Formaten. Die Entscheidung stieß auf massive Kritik: Über 1000 Upvotes im Chromium-Bug-Tracker protestierten gegen die Entfernung, die Free Software Foundation kritisierte die Entscheidung als Einengung von Nutzer-Wahlmöglichkeiten. Jon Sneyers, Mitentwickler von JPEG XL, vermutete einen internen Konflikt bei Google zwischen JPEG-XL-Befürwortern und Vertretern der konkurrierenden Google-Formate AVIF und WebP.

JPEG XL wurde als moderner Standard für Bildkompression entwickelt und basiert auf Googles PIK und Cloudinarys FUIF. Der Standard wurde im Dezember 2020 finalisiert und im Oktober 2021 als internationaler Standard verabschiedet. Das Format bietet höhere Kompressionsraten als JPEG, unterstützt verlustfreie Kompression und ist offen sowie lizenzgebührenfrei. Experimentell war JPEG XL bereits ab Chrome 91 mit einem Feature Flag verfügbar.

Die Neubewertung begann im November 2025, als das Chromium-Team die Wiederaufnahme ankündigte. Ausschlaggebend waren mehrere Faktoren: Apple hatte den JPEG-XL-Support in Safari implementiert, Mozilla seine neutrale Haltung aufgegeben und die PDF-Association das Format im Oktober 2025 als empfohlen in PDF-Spezifikationen aufgenommen. Technisch plant Chromium die Integration von „jxl-rs“, einem Rust-basierten JPEG-XL-Decoder. Google nutzt das Format bereits praktisch: Die Google Cloud Platform DICOM API verwendet JPEG XL für eine Reduktion der Dateigröße um 20 Prozent.

Neue Features in Chrome 145

Chrome 145 bringt außerdem diverse neue Funktionen. Column wrapping für Multicol ermöglicht vertikales Spaltenlayout und 2D-Spaltenlayout. Device Bound Session Credentials schützen Nutzer-Sessions besser. Die neue Origin API vereinfacht die Arbeit mit Origins. Bei CSS unterstützt der Browser nun das text-justify-Property für bessere Kontrolle über Textausrichtung bei Blocksatz sowie prozentuale Werte für letter-spacing und word-spacing für responsive Typografie.

Weitere Neuerungen umfassen eine optimierte Schattenberechnung bei hohen border-radius-Werten, neue Event-Handler wie onanimationcancel für CSS Animations und die focusVisible-Option zur Kontrolle über Fokusring-Anzeige. Das Customizable-select-Element verbessert das Listbox-Rendering, während Monochrome-Emoji im Forced-Colors-Modus die Darstellung verbessern.

Behobene Sicherheitslücken

Besonders kritisch sind drei als „High Severity“ eingestufte Schwachstellen. CVE-2026-2313 betrifft einen Use-after-free-Fehler in CSS, CVE-2026-2314 beschreibt einen Heap-Buffer-Overflow in den Codecs und CVE-2026-2315 eine fehlerhafte Implementierung in WebGPU. Alle drei Lücken lassen sich durch manipulierte HTML-Seiten ausnutzen und erreichen einen CVSS-Score von 8.8. Für die Meldung von CVE-2026-2313 zahlte Google 8000 US-Dollar an die Forscher Han Zheng, Wenhao Fang und Qinying Wang.

Die mittelschweren Sicherheitslücken umfassen unter anderem CVE-2026-2316, die UI-Spoofing in Frames ermöglicht, sowie CVE-2026-2317, die ein Cross-Origin-Datenleck in der Animation-Implementierung erlaubt. Eine Race-Condition in den DevTools (CVE-2026-2319) könnte Object-Corruption via bösartiger Erweiterungen ermöglichen. Insgesamt zahlte Google für die gemeldeten Schwachstellen Prämien zwischen 500 und 8000 US-Dollar.

Alle Informationen zur neuen Version 145 finden sich in den Release-Notes. Anwender sollten Chrome zeitnah aktualisieren, da die Sicherheitslücken remote über manipulierte Webseiten ausnutzbar sind. Chrome aktualisiert sich in der Regel automatisch, Nutzer können die Aktualisierung aber über „Einstellungen/Über Google Chrome“ manuell anstoßen.

(fo)