Chrome: Zwei Updates in einer Woche

Google hat den Webbrowser Chrome zum Freitag ein zweites Mal in dieser Woche aktualisiert. Damit stopft der Hersteller insgesamt 21 Sicherheitslücken. Der Grund für das zweite ungeplante Update ist jedoch unklar. Aber der Reihe nach.

In der Nacht zum Mittwoch hat Google das übliche wöchentliche Browser-Update für Chrome herausgegeben. Das behandelt 18 Sicherheitslücken, von denen vier sogar die Risikobewertung als „kritisch“ erhalten haben. Dazu gehören zwei Use-after-free-Schwachstellen in WebGL (CVE-2026-13028, CVE-2026-13032), eine weitere in Autofill (CVE-2026-13038) sowie potenzielle Lesezugriffe außerhalb vorgesehener Speichergrenzen in der Komponente „Blink>InterestGroups“ (CVE-2026-13033). Bei Use-after-free-Sicherheitslücken greift der Programmcode auf bereits freigegebene Ressourcen zu, deren Inhalte daher nicht definiert sind. Angreifer können das oftmals sogar zum Ausführen von Schadcode missbrauchen, etwa bei der Anzeige sorgsam präparierter Webseiten.

Zum Freitag haben Googles Entwickler nun eine Aktualisierung nachgelegt, die außerhalb des üblichen Zeitplans erfolgt. Das passiert normalerweise etwa, wenn Schwachstellen bereits attackiert werden. Davon schreibt Google jedoch nichts. Lediglich drei Schwachstellen bessert das Update demnach aus, und die schätzen die Programmierer auch „nur“ als ein hohes Risiko ein. Darunter sind erneut zwei Use-after-free-Schwachstellen, einmal in Payments (CVE-2026-13282) und einmal in AdFilter (CVE-2026-13283). Außerdem korrigiert das Update einen Integer-Überlauf in der Mojo-Komponente (CVE-2026-13281).

Update außer der Reihe, aber kein Exploit

Üblicherweise schreibt Google in den Versionsankündigungen, wenn das Unternehmen davon weiß, dass Sicherheitslücken bereits im Internet angegriffen werden. In beiden Versionsankündigungen finden sich jedoch keine derartigen Hinweise. Dennoch sollten Nutzer von Chromium-basierten Webbrowsern etwaige verfügbare Aktualisierungen zügig anwenden. Das reduziert die potenzielle Angriffsfläche auf jeden Fall.

Aktuell sind ab Freitag nun die Versionen Chrome 149.0.7827.200 für Android und Linux sowie 149.0.7827.200/201 für Mac und Windows. Die lassen sich über den Versionsdialog direkt im Browser installieren (Einstellungsmenü, dort „Hilfe“ – „Über “). Unter Linux muss in der Regel die Softwareverwaltung der Distribution aufgerufen werden. Auf Smartphones bringen die App-Stores die Updates auf die Geräte – allerdings oft mit größeren Verzögerungen; eine Beschleunigung lässt sich dort nicht erzwingen. Auch Nutzer von Browsern wie Microsofts Edge, die auf Chromium basieren, sollten nach Updates Ausschau halten.

Vor zweieinhalb Wochen musste Google mit einem Update außer der Reihe eine bereits angegriffene Schwachstelle im Webbrowser Chrome schließen.

(dmk)