Mozilla hat Firefox 152.0.6 veröffentlicht und darin zwei kritische Sicherheitslücken geschlossen. Die Schwachstellen werden als CVE-2026-15718 und CVE-2026-15719 geführt. Mozilla beschreibt sie als ungültigen Zeiger in der Komponente „JavaScript: WebAssembly“ sowie als Problem bei der Site Isolation in der Komponente „DOM: Navigation“.

Zu beiden Lücken erklärt Mozilla, dass öffentlicher Exploit-Code vorliegt. Gleichzeitig betont der Hersteller: „Uns ist bekannt, dass dafür öffentlicher Exploit-Code existiert, wir haben jedoch keine Kenntnis von Angriffen in freier Wildbahn, die diese Schwachstelle ausnutzen.“ Diese Einschätzung gilt laut Mozilla für beide Fehler.

Auch Google hat ein neues Sicherheitsupdate für Chrome bereitgestellt. Nach Angaben des Unternehmens werden damit 15 Schwachstellen behoben. Darunter sind zwei kritische Use-after-free-Lücken in Ozone, die unter den Kennungen CVE-2026-15764 und CVE-2026-15765 erfasst sind.

Zusätzlich beseitigt das Chrome-Update zwölf Schwachstellen mit hohem Schweregrad in den Bereichen Skia, Libyuv, HTML-in-Canvas, Linux Toolkit Theming, V8, Media, GPU, Core und UI. Google nennt dabei unter anderem nicht initialisierte Nutzung, Heap-Buffer-Overflow, unzureichende Durchsetzung von Richtlinien, unzureichende Validierung nicht vertrauenswürdiger Eingaben sowie weitere Use-after-free-Probleme.

Nur drei der behobenen Chrome-Sicherheitslücken wurden laut Google von externen Forschern gemeldet; die übrigen entdeckte das Unternehmen selbst. Angaben zu den gezahlten Bug-Bounty-Prämien hat Google bislang nicht veröffentlicht.

Einen Hinweis auf aktive Ausnutzung der gepatchten Chrome-Lücken liefert Google nicht. Das Update wird nach Unternehmensangaben als Chrome 150.0.7871.124 und 150.0.7871.125 für Windows und macOS sowie als Version 150.0.7871.124 für Linux ausgerollt.

Damit stehen für beide großen Browser-Familien frische Updates bereit, die mehrere sicherheitsrelevante Fehler in Kernkomponenten beseitigen. Besonders bei Firefox fällt auf, dass Exploit-Code bereits öffentlich verfügbar ist, Mozilla aber bislang keine Angriffe beobachtet hat.