Chrome-Update stopft eine kritische Lücke – und 28 weitere

Eher unbemerkt hat Google den Chrome-Webbrowser allgemein auf Version 146er-Entwicklerzweig aktualisiert. In der Nacht zum Mittwoch hat das Unternehmen die Verteilung begonnen. Erst in der Nacht zum Donnerstag haben die Entwickler jedoch die Release-Ankündigung mit Informationen zu den damit geschlossenen Sicherheitslücken befüllt. Und das sind eine ganze Menge: 29 Schwachstellen bessern die Programmierer im ersten offiziellen Chrome-146-Release aus.

In der Versionsankündigung erörtert Google, dass die aktualisierte Browser-Version eine kritische Schwachstelle ausbessert. In der WebML-Komponente können Angreifer beim Rendern manipulierter HTML-Seiten Speicherstörungen auf dem Heap provozieren und dadurch offenbar eingeschleusten Code ausführen (CVE-2026-3913, kein CVSS-Wert, Risiko laut Google „kritisch“). Der Schwachstellenmelder Tobias Wienand bekommt von Google dafür 33.000 US-Dollar Belohnung.

Von den elf Sicherheitslecks mit der Risikoeinstufung „hoch“ fallen drei besonders ins Auge. Ein Ganzzahl-Überlauf in WebML (CVE-2026-3914, kein CVSS-Wert, Risiko nach Google „hoch“) bringt dem Entdecker sogar 43.000 US-Dollar als Bug-Bounty-Entlohnung ein, denselben Betrag gab es abermals für Wienand für einen weiteren Heap-basierten Pufferüberlauf in dem Modul (CVE-2026-3915, kein CVSS-Wert, Risiko laut Google „hoch“). Für die Meldung einer Schwachstelle, durch die sorgsam präparierte Webseiten einen Lesezugriff außerhalb vorgesehener Speichergrenzen in der „Web Speech“-Komponente auslösen können, gab es noch 36.000 US-Dollar Prämie (CVE-2026-3916, kein CVSS-Wert, Risiko laut Google „hoch“)

Google Chrome: Flut an Sicherheitslücken

In der Versionsankündigung finden sich weitere kurze Informationshappen zu den Schwachstellen, die die neuen Fassungen ausbügeln. Die Versionsnummern für die Fehlerkorrekturen lauten Chrome 146.0.7680.111 für Android, 146.0.7680.40 für iOS, 146.0.7680.71 für Linux sowie 146.0.7680.71/72 für macOS und Windows.

Immerhin: Google schreibt nichts dazu, dass eine oder gar mehrere der Lücken bereits im Internet attackiert würden. Dennoch sollten Chrome-User sicherstellen, dass der Webbrowser auf dem aktuellen Stand ist. Das gelingt etwa durch Aufruf des Versionsdialogs, der sich nach Klick auf das Symbol mit den drei aufeinander gestapelten Punkten rechts von der Adressleiste und dem weiteren Weg über „Hilfe“ – „Über Google Chrome“ öffnet. Der zeigt den derzeit laufenden Stand an und bietet bei Verfügbarkeit die Installation des Updates an. Unter Linux ist in der Regel die Softwareverwaltung der Distribution für Aktualisierungen zuständig. Auf Smartphones sollten in Kürze aktuelle Chrome-Versionen in den App-Stores auftauchen – hier allerdings mit der Eigenheit, dass das deutlich verzögert geschieht und auf einigen Geräten gar mehrere Tage bis Wochen Wartezeit einzukalkulieren sind.

Da die Sicherheitslücken im Chromium-Projekt auftauchen, dürften auch weitere darauf basierende Webbrowser wie etwa Microsofts Edge in absehbarer Zeit aktuelle Fassungen vorlegen. Die sollten Nutzer und Nutzerinnen zeitnah installieren. Erst in der vergangenen Woche hatte Google im Chrome-Webbrowser drei als kritisches Risiko eingestufte Sicherheitslücken geschlossen. Am Microsoft-Patchday im März tauchte die Schwachstellenliste ebenfalls für den Edge-Browser auf.

(dmk)