Chrome: Erster Fix unzureichend, neues Notfall-Update veröffentlicht

Google hat in der Nacht zum Samstag erneut ein Notfall-Update für den Webbrowser Chrome herausgegeben. Es bessert eine im Netz bereits attackierte Sicherheitslücke aus, die das Update vom Vortag offenbar nicht oder nicht korrekt geschlossen hat.

Bereits am Freitag dieser Woche hatte Google angekündigt, dass das außerplanmäßige Update zwei in freier Wildbahn attackierte Sicherheitslücken stopft. Jetzt haben die Entwickler jedoch eine weitere Aktualisierung außer der Reihe eingeschoben, die eine der vermeintlich bereits geschlossenen Sicherheitslücken (abermals) korrigiert. Es handelt sich dabei um die Schwachstelle in der Grafikbibliothek Skia. Durch das Verarbeiten und Rendern sorgsam präparierter Webseiten können Angreifer auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen und so fälschlicherweise Speicherinhalte schreiben (CVE-2026-3909, kein CVSS-Wert, Risiko laut Google „hoch“). Das ermöglicht oftmals, Schadcode einzuschleusen und auszuführen.

Google hat die ursprüngliche Versionsankündigung aus der Nacht zum Freitag inzwischen aktualisiert. Demnach listete die vorherige Version der Notiz die Schwachstelle CVE-2026-3909 auf, deren Korrektur jedoch erst in einem künftigen Update enthalten sein wird, führen die Entwickler dort nun aus. Zu den Gründen nennen sie keine weiteren Details. Auch zu den bereits laufenden Angriffen auf die Schwachstellen gibt es keine weitergehenden Informationen.

Aktualisierte Versionen jetzt installieren

Chrome-Nutzer und -Nutzerinnen sollten sicherstellen, dass sie die aktuelle Fassung des Webbrowsers einsetzen. Chrome 146.0.7680.119 für Android sowie 146.0.7680.80 für Linux, macOS und Windows stopfen nun auch das zweite attackierte Sicherheitsleck.

Der Versionsdialog findet die Updates und startet auch gleich deren Installation. Der öffnet sich nach Klick auf das Icon mit den drei übereinanderliegenden Punkten rechts von der Adressleiste und dem weiteren Klickpfad „Hilfe“ – „Über Google Chrome“. Unter Linux ist in der Regel die Softwareverwaltung der Distribution dafür zuständig. Der Play-Store von Google sollte das Update ebenfalls anbieten, auf zahlreichen Handy-Modellen kommen die Chrome-Updates jedoch mit deutlicher Verzögerung an; die Aktualisierung lässt sich dort auch nicht erzwingen.

Da andere auf dem Chromium-Code basierende Webbrowser wie Microsoft Edge die Schwachstelle mit hoher Wahrscheinlichkeit ebenfalls aufweisen, sollten Nutzerinnen und Nutzer dieser Alternativen ebenfalls prüfen, ob dafür Aktualisierungen verfügbar sind, und diese zeitnah anwenden.

(dmk)