SchwachstellenCloud-Sicherheit

Chrome 148: Google schließt 79 Sicherheitslücken, darunter 14 kritische Schwachstellen

Von CyberDeutsch Redaktion
Chrome 148: Google schließt 79 Sicherheitslücken, darunter 14 kritische Schwachstellen
Zusammenfassung

Google hat diese Woche ein Sicherheits-Update für Chrome 148 veröffentlicht, das 79 Schwachstellen behebt, darunter 14 kritische Sicherheitslücken in verschiedenen Browser-Komponenten. Die kritischsten Probleme sind ein Heap-Buffer-Overflow in WebML (CVE-2026-8509) und ein Integer-Overflow in Skia (CVE-2026-8510), für die Google Kopfgelder von insgesamt über 68.000 Dollar zahlte. Die übrigen zwölf kritischen Mängel umfassen mehrere Use-after-Free-Fehler in UI-, DateiSystem-, Input- und anderen Komponenten sowie weitere schwerwiegende Fehlertypen. Zusätzlich wurden 37 High-Severity-Schwachstellen geschlossen. Für deutsche Nutzer ist dieses Update essentiell, da diese Lücken potenziell für Remote-Code-Execution-Angriffe ausgenutzt werden könnten. Besonders Unternehmen und Behörden sollten Chrome unverzüglich auf Version 148.0.7778.167 oder höher aktualisieren, um ihre Systeme vor möglichen Cyberangriffen zu schützen. Google hat bisher keine Hinweise auf aktive Exploits in der freien Wildbahn gemeldet, doch die Dringlichkeit und Kritikalität der Lücken macht sofortige Patches notwendig.

Die Chrome-148-Aktualisierung adressiert ein umfassendes Spektrum von Sicherheitsdefiziten. Neben den 14 kritischen Fehlern wurden 37 Schwachstellen mit hoher Priorität behoben. Google hat für besonders bedeutsame Lücken Prämien aus seinem Bug-Bounty-Programm ausgeschüttet: Insgesamt 44.000 Dollar flossen an Sicherheitsforscher für vier der hochgradigen Schwachstellen, wobei einzelne Entdeckungen bis zu 25.000 Dollar einbrachten.

Die kritischen Bugs verteilen sich auf verschiedene Browser-Module. Acht Use-After-Free-Lücken wurden in den Komponenten UI, FileSystem, Input, Aura, HID, Blink, Tab Groups und Downloads entdeckt. Diese Fehlerklasse ist besonders tückisch, da sie auftritt, wenn ein Programm auf bereits freigegebene Speicherbereiche zugreift – ein klassischer Vektor für Remote Code Execution.

Weitere kritische Probleme umfassen eine unzureichende Validierung von Eingabedaten in DataTransfer, ein Objektlebenszyklus-Problem in WebShare, einen Integer-Overflow in ANGLE sowie eine Race Condition in der Payments-Komponente. Diese Vielfalt unterstreicht, wie komplex moderne Browser-Architekturen sind.

Bemerkenswert ist, dass Google 12 der 14 kritischen Schwachstellen selbst entdeckt hat. Dies deutet auf ein reifes internes Sicherheits-Audit-Verfahren hin. Die beiden Exceptions – WebML und Skia – zeigen aber auch, dass externe Forscher wertvolle Beiträge leisten.

Die 37 High-Severity-Bugs beinhalten Varianten bekannter Fehlerklassen: Use-After-Free, Out-of-Bounds-Zugriffe, Heap-Buffer-Overflows, Type Confusion und Validierungsmängel. Auch hier ist die Gesamtsumme der Bounty-Zahlungen noch nicht vollständig transparent.

Die Aktualisierung rolliert schrittweise aus: Auf Linux als Version 148.0.7778.167, auf Windows und macOS in den Versionen 148.0.7778.167 und 148. Nutzer sollten prüfen, ob ihre Installation bereits auf die neue Version aktualisiert wurde, da Google typischerweise phased Rollouts durchführt.

Parallel veröffentlichte Mozilla Firefox 150.0.3, das fünf High-Severity-Lücken in JIT, WebAssembly, JavaScript Engine und Profile Backup adressiert. Auch Firefox-Nutzer sollten zügig aktualisieren, um Schutz zu gewährleisten.

Ähnliche Artikel