Chrome-Update stopft 31 Sicherheitslücken, davon fünf kritische

Wer mit Chrome und Chromium-basierten Webbrowsern unterwegs ist, sollte sicherstellen, den aktuellen Softwarestand einzusetzen. Google hat Updates veröffentlicht, mit denen die Entwickler 31 Sicherheitslücken schließen. Fünf davon gelten als kritisch, sie erlauben Angreifern das Einschleusen von Schadcode.

In der Versionsankündigung listen Googles Entwickler die Schwachstellen auf. Manipulierte Webseiten können einen Heap-basierten Pufferüberlauf im WebGL-Backend ANGLE auslösen und dadurch aus der Sandbox ausbrechen (CVE-2026-6296, CVSS 9.6, Risiko „kritisch“). Der Fehlerbericht war Google 90.000 US-Dollar wert, das ist damit eine der bislang höchsten Auszahlungen für eine Chrome-Sicherheitslücke.

Die Proxy-Komponente erlaubt ebenfalls aufgrund einer „Use-after-free“-Schwachstelle, dass Angreifer in „privilegierter Netzwerk-Position“ mit sorgsam präparierten Webseiten aus der Sandbox ausbrechen (CVE-2026-6297, CVSS 8.3, Risiko „hoch“, laut Google aber „kritisch“). In der Grafikbibliothek Skia können manipulierte HTML-Seiten einen Heap-basierten Pufferüberlauf provozieren, der sensible Informationen aus dem Prozessspeicher entweichen lässt (CVE-2026-6298, CVSS 4.3, Risiko „mittel“, laut Google „kritisch“).

Zahlreiche Schwachstellen in Chrome

Eine „Use-after-free“-Lücke beim Prerendering von Webseiten in Chrome ermöglicht zudem das Einschleusen von Schadcode mit präparierten Webseiten (CVE-2026-6299, CVSS 8.8, Risiko „hoch“, laut Google „kritisch“). In der „Extended Reality“-Komponente (XR) von Chrome auf Android können Angreifer zudem mit manipulierten HTML-Seiten Lesezugriffe außerhalb vorgesehener Speicherbereiche aufgrund einer „Use-after-free“-Lücke auslösen (CVE-2026-6358, CVSS 8.8, Risiko „hoch“, laut Google „kritisch“).

Weitere 22 Sicherheitslücken stufen die Entwickler als hohes Risiko ein, vier zudem als mittleren Bedrohungsgrad. Die Schwachstellen will Google in den Versionen Chrome 147.0.7727.101 für Android und Linux sowie 147.0.7727.101/102 für macOS und Windows ausgebessert haben. Immerhin: Google erwähnt nichts davon, dass die Schwachstellen bereits im Internet attackiert würden.

Aktualisierte Software installieren

Ob der Browser bereits aktuell ist, lässt sich im Versionsdialog feststellen. Der findet sich nach Klick auf das Browser-Menü, das sich hinter dem Symbol mit drei übereinander gestapelten Punkten rechts der Adressleiste verbirgt, und dort weiter über „Hilfe“ zu „Über Google Chrome“. Steht ein Update zur Verfügung, lädt der Dialog es herunter und bietet die Installation an. Unter Linux macht das in der Regel die Softwareverwaltung der Distribution. Auf Android-Smartphones kommt es jedoch oftmals zur verzögerten Auslieferung.

Da andere Browser wie Microsofts Edge auf dem Chromium-Code basieren, dürften sich die Schwachstellen auch darin finden. Auch hier sollten Nutzerinnen und Nutzer daher prüfen, ob Aktualisierungen bereitstehen, und diese anwenden.

Derzeit häufen sich die entdeckten und geschlossenen Sicherheitslücken in Chrome. Erst vergangene Woche haben die Entwickler sogar 60 Sicherheitslecks in Chrome geschlossen.

(dmk)