Google hat mit seinen jüngsten Updates seines Google-Chrome Webbrowsers 31 Sicherheitslücken geschlossen. Davon gelten 5 als kritisch, sie erlauben Angreifern das Einschleusen von Schadcode.

Google listet in der Versionsankündigung die Schwachstellen auf. Einen Heap-basierten Pufferüberlauf im WebGL-Backend ANGLE können von manipulierten Webseiten ausgelöst werden und so aus der Sandbox ausbrechen (CVE-2026-6296, CVSS 9.6, Risiko „kritisch“).

Aufgrund einer „Use-after-free“-Schwachstelle in der Proxy-Komponente erlaubt ebenfalls, dass Angreifer in „privilegierter Netzwerk-Position“ mit sorgsam präparierten Webseiten aus der Sandbox ausbrechen (CVE-2026-6297, CVSS 8.3, Risiko „hoch“, laut Google aber „kritisch“). Auch in der Grafikbibliothek Skia steckt eine kritische Sicherheitslücke (CVE-2026-6298, CVSS 4.3, Risiko „mittel“, laut Google „kritisch“).

Weiterhin erlaubt eine „Use-after-free“-Lücke beim Prerendering von Webseiten in Chrome das Einschleusen von Schadcode mit präparierten Webseiten (CVE-2026-6299, CVSS 8.8, Risiko „hoch“, laut Google „kritisch“). Auch in der „Extended Reality“-Komponente (XR) von Chrome auf Android befindet sich eine „Use-after-free“-Lücke (CVE-2026-6358, CVSS 8.8, Risiko „hoch“, laut Google „kritisch“).

Laut Google sind die Schwachstellen in den Chrome-Versionen 147.0.7727.101 für Android und Linux sowie 147.0.7727.101/102 für macOS und Windows geschlossen. Nutzer sollten zügig die Updates installieren.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE