Jetzt aktualisieren! Chrome-Sicherheitslücke wird angegriffen

Im Chrome-Webbrowser klaffen 21 Sicherheitslücken. In der Nacht zum Mittwoch dieser Woche hat Google Updates veröffentlicht, die sie schließen. Eine der Schwachstellen erlaubt das Einschleusen von Schadcode und wird bereits im Internet attackiert.

In der Versionsankündigung hat Google dieses Mal zeitnah Informationen zu den darin geschlossenen Sicherheitslücken ergänzt. 19 Schwachstellen gelten demnach als hohes Risiko, zwei weitere als mittlerer Bedrohungsgrad. Für eine der Lücken mit hohem Risiko erklären die Entwickler, dass sie um einen Exploit in freier Wildbahn wissen – Angreifer nutzen sie zum Kompromittieren von Nutzern und Nutzerinnen aus.

Dabei handelt es sich um eine Use-after-free-Schwachstelle, bei der Programmcode auf Ressourcen zugreift, nachdem sie bereits freigegeben wurden und dadurch undefinierte Inhalte enthalten können. Das lässt sich oftmals mit etwas Geschick zum Einschleusen und Ausführen von Schadcode missbrauchen. Angreifer machen das bereits mit manipulierten Webseiten. Der Fehler findet sich in der WebGPU-Implementierung Dawn von Chrome (CVE-2026-5281, kein CVSS-Wert, Risiko laut Google „hoch“).

Google Chrome: Aktualisierte Versionen

Die Chrome-Versionen 146.0.7680.177 für Android und Linux sowie 146.0.7680.177/178 für macOS und Windows schließen die Sicherheitslücken. Die lassen sich lokal etwa durch den Aufruf des Versionsdialogs über den Klickpfad „Einstellungen“ (verbergen sich hinter dem Symbol mit drei aufeinander gestapelten Punkten rechts von der Adressleiste) und weiter über „Hilfe“ – „Über Google Chrome“ installieren, dort sollte das verfügbare Update angezeigt und dessen Installation angeboten werden. Unter Linux ist dafür in der Regel die Softwareverwaltung der eingesetzten Distribution zuständig. Android-Nutzer und -Nutzerinnen sollten im Google-Play-Store die Aktualisierung angeboten bekommen – allerdings stellt Google hier die neuesten Versionen nicht für alle Smartphones zur gleichen Zeit bereit, die Verfügbarkeit kann auch erst nach Stunden oder Tagen gegeben sein.

Auf dem Chromium-Projekt basierende Webbrowser wie Microsofts Edge sind mit hoher Wahrscheinlichkeit ebenfalls von den Sicherheitslücken betroffen, die attackierte Schwachstelle dürfte auch darin vorhanden sein. Wer diese Browser einsetzt, sollte ebenfalls prüfen, ob Aktualisierungen vorliegen.

Zuletzt hatte Google vor etwa eineinhalb Wochen ein umfangreiches Update verteilt, das 26 Sicherheitslücken geschlossen hat. Knapp eine Woche davor mussten die Entwickler zudem Notfall-Updates herausgeben, um zwei bereits angegriffene Sicherheitslücken zu schließen. Dabei kam es zu etwas Verwirrung – der erste Fix hatte eine der beiden Lücken anders als angekündigt nicht geschlossen, woraufhin Google am Folgetag ein weiteres Update außer der Reihe zum Stopfen eines zweiten bereits attackierten Sicherheitslecks veröffentlichte.

(dmk)