Chrome 149 schließt 28 schwerwiegende Sicherheitslücken

Zusammenfassung

Google hat am Donnerstag ein Update für Chrome 149 veröffentlicht, das 28 Sicherheitslücken mit kritischer oder hoher Einstufung schließt. Betroffen sind unter anderem Komponenten wie Core, DigitalCredentials, WebMIDI, Accessibility und GPU. Fünf der behobenen Schwachstellen stuft Google als kritisch ein, die übrigen 23 als hochriskant. Besonders auffällig ist die hohe Zahl von Use-after-free-Fehlern: Ein Dutzend der korrigierten Lücken fällt in diese Kategorie, darunter drei kritische und neun hochriskante Befunde. Solche Speicherfehler können laut Quelltext für Remotecodeausführung, Datenbeschädigung oder Denial-of-Service missbraucht werden. In Chrome könnten Use-after-free-Schwachstellen zudem für einen Ausbruch aus der Sandbox genutzt werden, wenn sie mit Sicherheitsfehlern im Betriebssystem oder in privilegierten Bereichen des Browsers kombiniert werden. Google erklärt nicht, dass eine der nun geschlossenen Lücken bereits aktiv ausgenutzt wurde.

Die neue Chrome-Version beseitigt fünf kritische Schwachstellen. Dazu zählen Use-after-free-Fehler in Core, DigitalCredentials und WebMIDI, eine unzureichende Validierung nicht vertrauenswürdiger Eingaben in Accessibility sowie ein Heap-Buffer-Overflow in GPU.

Die übrigen 23 Lücken sind als hochriskant eingestuft. Darunter sind neun weitere Use-after-free-Fehler, vier Fälle unzureichender Validierung nicht vertrauenswürdiger Eingaben, drei fehlerhafte Implementierungen, zwei Fälle unzureichender Richtliniendurchsetzung, zwei Out-of-Bounds-Reads, ein Out-of-Bounds-Write, eine Race-Condition und ein Heap-Buffer-Overflow.

Damit entfällt ein erheblicher Teil der behobenen Probleme auf Speicherfehler. Insgesamt zwölf der 28 Schwachstellen sind Use-after-free-Lücken. Der Quelltext beschreibt sie als eine Klasse von Speicherfehlern, die für Remotecodeausführung, Datenbeschädigung oder Denial-of-Service ausgenutzt werden könnte. In Chrome kommt hinzu, dass sich solche Lücken für einen Ausbruch aus der Sandbox eignen könnten, wenn zusätzlich Schwachstellen im Betriebssystem oder in privilegierten Browser-Komponenten vorliegen.

Google arbeitet seit Jahren gegen diese Fehlerklasse. 2022 führte das Unternehmen MiraclePtr ein, um die Ausnutzung solcher Schwachstellen zu erschweren. Außerdem stellt Google Chrome-Codebasen schrittweise auf Rust um, um diese Art von Sicherheitsfehlern nach eigener Strategie vollständig zu beseitigen.

Laut Quelltext ist die Zahl der in Chrome beseitigten Use-after-free-Lücken in den vergangenen Monaten gestiegen. Gleichzeitig habe die Gesamtzahl der in Chrome aufgedeckten Schwachstellen zugenommen, wahrscheinlich begünstigt durch den Einsatz von KI.

Seit Jahresbeginn hat Google demnach mehr als 700 Fehler in Chrome behoben, mehr als fünfmal so viele wie die Gesamtzahl der im Jahr 2025 geschlossenen Lücken. Fünf dieser Fehler wurden als Zero-Days ausgenutzt.

Auch bei Chrome 149 stammt der Großteil der Meldungen direkt von Google. Von den 28 behobenen Sicherheitslücken sind 27 als „von Google gemeldet“ gekennzeichnet, nur eine geht auf einen unabhängigen Forscher zurück. Hinweise auf eine aktive Ausnutzung der nun geschlossenen Schwachstellen nennt Google nicht.

Das Update wird für Windows und macOS als Version 149.0.7827.114 beziehungsweise 149.0.7827.115 verteilt. Für Linux steht Chrome 149 als Version 149.0.7827.114 bereit.

Chrome 149 schließt 28 schwerwiegende Sicherheitslücken

Ähnliche Artikel

Neueste Artikel