Chrome: Google schließt 26 Sicherheitslücken im Webbrowser

Am Donnerstag hat Google aktualisierte Versionen des Webbrowsers Chrome herausgegeben. Sie schließen 26 Sicherheitslücken. Drei davon gelten als kritisches Risiko – Nutzer und Nutzerinnen sollten daher sicherstellen, die aktuellen Softwareversionen einzusetzen.

In der Nacht zum Freitag hat Google die zunächst leere Versionsankündigung mit den darin ausgebesserten Schwachstellen befüllt. Zwei der gravierendsten Sicherheitslücken betreffen die WebGL-Komponente. Einmal können Angreifer mit manipulierten HTML-Seiten aufgrund von dabei auftretenden Speicherzugriffen außerhalb vorgesehener Grenzen aus einer Sandbox in Android ausbrechen (CVE-2026-4439, kein CVSS-Wert, Risiko laut Google „kritisch“). Die zweite Lücke darin klingt ähnlich, hier sollen Angreifer jedoch Lese- und Schreibzugriffe außerhalb der vorgesehenen Speicherbereiche mit sorgsam präparierten Webseiten ausführen können. Der Schweregrad der Lücke weist jedoch darauf hin, dass so das Einschleusen und Ausführen von Schadcode möglich ist (CVE-2026-4440, kein CVSS-Wert, Risiko laut Google „kritisch“).

Dann hat sich noch eine Schwachstelle des Typs „Use-after-free“ in der Base-Komponente von Chrome manifestiert. Dadurch können bösartige Akteure mit präparierten Webseiten Speicherstörungen auf dem Heap provozieren. Derartige Lücken erlauben oftmals das Ausführen von eingeschleustem Code (CVE-2026-4441, kein CVSS-Wert, Google-Risikoeinstufung „kritisch“). 22 weitere Schwachstellen haben als Bedrohungsgrad die Einschätzung „hoch“ erhalten, lediglich eine den Schweregrad „mittel“.

Google Chrome: Aktuellen Softwarestand sicherstellen

Die Entwickler schreiben immerhin nichts davon, dass bereits Angriffe auf die Schwachstellen in freier Wildbahn beobachtet worden wären. Dennoch sollten Nutzer und Nutzerinnen von Chrome sicherstellen, dass der aktuelle Softwarestand aktiv ist. Das sind derzeit Chrome für Android und Linux 146.0.7680.153 sowie 146.0.7680.153/154 für macOS und Windows.

Das gelingt lokal etwa durch den Klick auf das Icon mit den drei übereinanderliegenden Punkten rechts von der Adressleiste und dem weiteren Pfad über „Hilfe“ hin zu „Über Google Chrome“. Das öffnet den Versionsdialog, der die derzeit laufende Softwareversion anzeigt und gegebenenfalls die Aktualisierung herunterlädt, installiert und zum schließlich nötigen Browser-Neustart auffordert. Unter Linux ist dazu in der Regel der Aufruf der Softwareverwaltung der Distribution nötig. In den App-Stores auf Mobilgeräten ist die aktuelle Version nicht immer umgehend verfügbar, oftmals lassen sich hier Verzögerungen von mehreren Tagen beobachten.

Die Lücken finden sich regelmäßig auch in der Chromium-Basis und darauf basierenden Webbrowsern wie Microsoft Edge oder Brave. Hierfür dürften die Anbieter in Kürze ebenfalls Updates anbieten, die die Lücken schließen. Hier sollten Nutzer ebenfalls prüfen, ob bereits Aktualisierungen verfügbar sind.

Derzeit sind die Chrome-Entwickler bei Google äußerst aktiv beim Beseitigen von Sicherheitsproblemen. Am Freitag vergangener Woche gab es ein Notfall-Update, um aktiv attackierte Schwachstellen im Chrome-Browser auszubügeln. Entgegen der ersten Ankündigung hatte jedoch die Fehlerkorrektur für eine zweite angegriffene Sicherheitslücke noch gefehlt, die ein weiteres Chrome-Notfall-Update in der Nacht zum Samstag nachlieferte.

(dmk)