Googles Chrome-Browser steht derzeit unter erheblichem Sicherheitsdruck. Innerhalb weniger Tage hat der Konzern gleich mehrere außerplanmäßige Updates herausgegeben – darunter Notfall-Patches für Schwachstellen, die von Angreifern bereits aktiv im Internet ausgenutzt wurden. Besonders brisant: Ein erster Notfall-Fix erwies sich als unzureichend, sodass Google in der Nacht zum Samstag unmittelbar nachbessern musste.
Aktiv ausgenutzte Lücken – ein ernstes Warnsignal
Den Auftakt bildete ein Notfall-Update, das Google in der Nacht zum Freitag veröffentlichte. Es adressierte zwei sogenannte Zero-Day-Schwachstellen – also Sicherheitslücken, für die zum Zeitpunkt der Entdeckung bereits Angriffe in freier Wildbahn bekannt waren. Bei beiden handelte es sich um Codeschmuggel-Lücken, also Schwachstellen, die es Angreifern potenziell ermöglichen, schadhaften Code in den Browser einzuschleusen und auszuführen. Solche Lücken gelten als besonders gefährlich, da sie ohne aktive Mithilfe des Nutzers ausgenutzt werden können – ein bloßer Webseitenbesuch kann in manchen Szenarien bereits ausreichen.
Dass der erste Patch die Probleme nicht vollständig beheben konnte, ist ungewöhnlich und unterstreicht die Komplexität der zugrunde liegenden Schwachstellen. Google reagierte jedoch schnell und lieferte noch in derselben Nacht ein weiteres Update nach. Dieses Vorgehen zeigt einerseits die Ernsthaftigkeit der Bedrohung, andererseits aber auch, wie schwierig es sein kann, tief im Browser-Code verwurzelte Sicherheitsprobleme mit einem einzigen Patch vollständig zu schließen.
Reguläres Update bringt 29 Fixes – darunter ein kritischer
Unabhängig von den Notfall-Patches hat Google in der Nacht zum Mittwoch zudem ein reguläres Update auf den Chrome-146er-Entwicklungszweig ausgerollt. Dieses Update schließt insgesamt 29 Sicherheitslücken, von denen eine als kritisch eingestuft wurde. Kritische Schwachstellen ermöglichen in der Regel die vollständige Kompromittierung eines Systems ohne nennenswerte Nutzerinteraktion – entsprechend hoch ist die Dringlichkeit solcher Updates.
Die Häufung von Sicherheitsupdates innerhalb weniger Tage ist kein Zufall, sondern spiegelt einen allgemeinen Trend wider: Moderne Browser wie Chrome sind hochkomplexe Softwareprojekte mit Millionen von Codezeilen, die eine enorm große Angriffsfläche bieten. Gleichzeitig sind sie das wichtigste Tor ins Internet und damit ein bevorzugtes Ziel für staatliche Akteure, Cyberkriminelle und Spionagesoftware-Entwickler.
Was Nutzer jetzt tun sollten
Für Chrome-Nutzer gilt in solchen Situationen eine klare Handlungsempfehlung: Sofort aktualisieren. Chrome aktualisiert sich zwar in der Regel automatisch im Hintergrund, jedoch wird die neue Version erst nach einem Neustart des Browsers vollständig aktiv. Wer sichergehen will, sollte über das Menü unter Hilfe → Über Google Chrome den Updatestatus manuell prüfen und den Browser anschließend neu starten.
Angesichts der Tatsache, dass Chrome weltweit auf über zwei Drittel aller Desktop-Systeme als primärer Browser eingesetzt wird, ist die potenzielle Reichweite solcher Angriffe enorm. Auch Nutzer von Chromium-basierten Alternativen wie Microsoft Edge oder Brave sollten die Updatehistorie ihrer jeweiligen Browser im Blick behalten, da diese den Chromium-Kern teilen und von ähnlichen Schwachstellen betroffen sein können.
Quellen: Heise Online