Kritische Lücken in Chrome und Firefox geschlossen

Wer weitverbreitete Webbrowser wie Googles Chrome oder Mozillas Firefox einsetzt, sollte zügig die bereitstehenden Aktualisierungen anwenden. Sie schließen als kritisches Risiko eingestufte Sicherheitslücken, die Angreifern unter anderem Codeschmuggel ermöglichen.

Webbrowser Google Chrome

Google-Entwickler arbeiten inzwischen offenbar auch mit KI zur Schwachstellensuche, die aktualisierten Versionen 147.0.7727.137 (Android, Linux) und 147.0.7727.137/138 (macOS, Windows) stopfen 30 Sicherheitslücken auf einen Schlag – seit einigen Wochen ist hier eine deutliche Erhöhung der gefundenen und korrigierten Sicherheitslecks zu beobachten. In der Versionsankündigung deuten sie knapp an, in welchen Komponenten des Browsers welcher Schwachstellentyp mit welchem Schweregrad gefunden wurde. Demnach können Angreifer etwa mit manipulierten Webseiten eine Use-after-free-Lücke in der Canvas-Komponente von Chrome unter Linux oder ChromeOS zum Ausführen von beliebigem Code in einer Sandbox missbrauchen (CVE-2026-7363, kein CVSS, Risiko laut Google „kritisch“). Unter iOS hat Chrome ebenfalls eine Use-after-free-Schwachstelle, die beim Verarbeiten von manipulierten Webseiten Speicher auf dem Heap durcheinander bringt (CVE-2026-7361, kein CVSS, Risiko laut Google „kritisch“).

Unter Windows gibt es bei den Barrierefreiheitsroutinen in Chrome eine Use-after-free-Lücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7344, kein CVSS, Risiko „kritisch“). Im User-Interface-Framework Views klafft ebenfalls eine Use-after-free-Sicherheitslücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7343, kein CVSS, Risiko „kritisch“). Bei Use-after-free-Schwachstellen nutzt der Programmcode bereits freigegebene Ressourcen, wodurch dort undefinierte Inhalte liegen – was sich oftmals etwa zum Ausführen von eingeschleustem Schadcode missbrauchen lässt. 23 weitere Sicherheitslücken stuft Google als hohes Risiko ein.

Firefox-Webbrowser

Die Mozilla-Foundation hat derweil die Versionen Firefox 150.0.1, Firefox ESR 140.10.1 und Firefox ESR 115.35.1 herausgegeben. Sie eint gemeinsame Sicherheitslücken, die die Speichersicherheit betreffen, also etwa Zugriffe außerhalb vorgesehener Speicherbereiche ermöglichen. Die Entwickler gehen jedoch nicht in die Details (CVE-2026-7322, CVSS 7.3 (laut CISA), Risiko nach Mozilla aber „kritisch“).

Bei keiner der Schwachstellen geben die Entwickler an, dass es Hinweise auf Missbrauch im Internet gibt. Dennoch sollten Nutzerinnen und Nutzer zügig sicherstellen, mit abgesicherten Versionen im Netz unterwegs zu sein.

Den aktuell laufenden Softwarestand zeigen bei allen Webbrowsern die Versionsdialoge an, die sich durch Klick auf das Einstellungsmenü und dort unter „Hilfe“ – „Über “ öffnen. Steht ein Update zur Verfügung, meldet der Dialog das und bietet die Installation an. Unter Linux ist dafür in der Regel die Softwareverwaltung der Distribution zuständig. Auf Mobilgeräten zeichnen sich hingegen die App-Stores für die Updateverwaltung verantwortlich. Allerdings stehen die Aktualisierungen dort oft erst mit Verzögerung bereit.

Auf diesen Projekten aufsetzende Browser wie der Chromium-basierte Microsoft Edge dürften in Kürze ebenfalls Aktualisierungen anbieten, die die Sicherheitslecks ausbessern. Ebenso ist für das Mailprogramm Thunderbird in Kürze mit Updates zu rechnen, da es auf dem verwundbaren Firefox-Code basiert.

(dmk)