Im Zentrum des Updates stehen vor allem Use-after-free-Schwachstellen. Google hat davon insgesamt zehn behoben; sie machen damit mehr als die Hälfte aller in dieser Version geschlossenen Fehler aus. Diese Art von Speicherfehlern gilt als besonders brisant, weil sie zu Remotecodeausführung führen kann.
Wie Google erläutert, lassen sich Use-after-free-Lücken in Chrome unter Umständen mit weiteren Sicherheitsfehlern kombinieren. Gemeint sind dabei Schwachstellen im zugrunde liegenden Betriebssystem oder in einem privilegierten Browser-Prozess, über die sich die Sandbox des Browsers verlassen ließe.
Die übrigen acht in Chrome 149 geschlossenen Probleme entfallen laut Google auf Out-of-bounds-Read-Fehler, fehlerhafte Implementierung, die Nutzung nicht initialisierter Daten sowie unzureichende Prüfung nicht vertrauenswürdiger Eingaben.
Die schwerwiegendste der jetzt behobenen Lücken wurde nach Angaben von Google von einem anonymen Sicherheitsforscher gemeldet. Wie hoch die dafür vorgesehene Prämie ausfällt, hat das Unternehmen bislang nicht veröffentlicht.
Die übrigen 17 Schwachstellen wurden von Google selbst entdeckt. Der Quelltext beschreibt das als einen Trend der vergangenen Monate und verweist darauf, dass dabei vermutlich auch der Einsatz von KI eine Rolle spielt.
Auffällig ist zudem die Entwicklung bei der Zahl neuer Funde pro Veröffentlichung. Nach einem Anstieg neu entdeckter Schwachstellen im April und Mai, der Anfang Juni in einem außergewöhnlich großen Paket von 429 Korrekturen gipfelte, ist die Zahl der pro Chrome-Version behobenen Sicherheitsprobleme zuletzt wieder auf einen niedrigen zweistelligen Bereich gesunken.
Google erwähnt in seinem Sicherheitshinweis nicht, dass eine der nun geschlossenen Schwachstellen bereits bei Angriffen ausgenutzt worden wäre.
Das Update wird laut Google als Chrome 149.0.7827.196/197 für Windows und macOS sowie als Chrome 149.0.7827.196 für Linux verteilt.