Im Mittelpunkt des Chrome-150-Updates stehen zwei kritische Use-after-free-Schwachstellen in den Komponenten Ozone und Views. Beide Fehler wurden laut Google im vergangenen Monat intern entdeckt. Insgesamt beseitigt die neue Version 27 Sicherheitslücken.

Von diesen 27 Schwachstellen entfallen 13 auf Use-after-free-Fehler. Google stuft dabei zehn dieser Defekte als schwerwiegend und einen als mittelschwer ein. Daneben schließt das Update weitere Klassen von Sicherheitsproblemen, darunter die Nutzung nicht initialisierter Speicherbereiche, Ganzzahlüberläufe, Lese- und Schreibzugriffe außerhalb zulässiger Speichergrenzen, unzureichende Prüfung nicht vertrauenswürdiger Eingaben, fehlerhafte Implementierung, unzureichende Datenvalidierung und unzureichende Durchsetzung von Richtlinien.

Auffällig ist laut dem Bericht, dass die meisten dieser Lücken erneut von Google selbst entdeckt wurden. Dieser Trend halte seit mehr als zwei Monaten an. Nach Googles Sicherheitsmitteilung wurden nur drei der jetzt behobenen Schwachstellen von externen Forschern gemeldet. Dafür zahlte das Unternehmen insgesamt 3.000 US-Dollar an Bug-Bounty-Prämien.

Dem Bericht zufolge dürfte dieser Trend wahrscheinlich durch den Einsatz von KI beeinflusst sein. Das habe zu niedrigeren Bug-Bounty-Auszahlungen geführt, zugleich aber dazu, dass deutlich mehr Schwachstellen behoben wurden.

Seit April hat Google nach diesen Angaben Korrekturen für mehr als 1.400 Chrome-Schwachstellen bereitgestellt, darunter Hunderte Fehler im Bereich Speichersicherheit. Allein die in Juni und Juli veröffentlichten Chrome-Updates beseitigten demnach mehr als 1.000 Schwachstellen.

Die aktuelle Chrome-Version steht nun für Windows und macOS als 150.0.7871.114 beziehungsweise 150.0.7871.115 zum Download bereit. Für Linux wird sie als Version 150.0.7871.114 ausgeliefert.