Última hora
BREUA atacam 90 alvos militares do Irã em nova rodada de bombardeiosRUМассовая гибель рыбы произошла в Ленинградской областиCN巴威颱風來襲,台中YouBike晚間10點後暫停營運ARالأنظار تتجه نحو مواجهة المغرب وفرنسا في ربع نهائي كأس العالمJPトランプ大統領、NATO会議を「大成功」と評価、態度一転に周囲驚くARنتنياهو: لن نسمح لإيران بامتلاك أسلحة نووية وسنبقى في جنوب لبنان طالما لزم الأمرDEDAX stabilisiert sich nach Verlusten; Iran-Konflikt und VW-Sparpläne belastenARالبنك المركزي المصري يثبت أسعار الفائدة الرئيسيةCRYPTO-ENSWIFT Pilot Allows Tokenized Deposits Over WeekendsDESachsens Kultusminister Conrad Clemens wegen illegalen Rennens schuldig gesprochenBREUA atacam 90 alvos militares do Irã em nova rodada de bombardeiosRUМассовая гибель рыбы произошла в Ленинградской областиCN巴威颱風來襲,台中YouBike晚間10點後暫停營運ARالأنظار تتجه نحو مواجهة المغرب وفرنسا في ربع نهائي كأس العالمJPトランプ大統領、NATO会議を「大成功」と評価、態度一転に周囲驚くARنتنياهو: لن نسمح لإيران بامتلاك أسلحة نووية وسنبقى في جنوب لبنان طالما لزم الأمرDEDAX stabilisiert sich nach Verlusten; Iran-Konflikt und VW-Sparpläne belastenARالبنك المركزي المصري يثبت أسعار الفائدة الرئيسيةCRYPTO-ENSWIFT Pilot Allows Tokenized Deposits Over WeekendsDESachsens Kultusminister Conrad Clemens wegen illegalen Rennens schuldig gesprochen
Newsgather
BackChrome und Firefox schließen dozenschwere Sicherheitslücken
Chrome und Firefox schließen dozenschwere Sicherheitslücken
Urgente
Heise Online29.04.2026Tecnología1 dk okumaGermany

Chrome und Firefox schließen dozenschwere Sicherheitslücken

Kritische Use-after-free-Lücken in Chrome 147 und Firefox 150 – 30 Schwachstellen in Google-Browser, 23 weitere als hohes Risiko eingestuft

En resumen

  • Google Chrome 147 und Mozilla Firefox 150 schließen dozenschwere Sicherheitslücken.
  • Chrome stopft 30 Schwachstellen, darunter vier kritische Use-after-free-Lücken (CVE-2026-7363, CVE-2026-7361, CVE-2026-7344, CVE-2026-7343), die Codeausführung in der Sandbox ermöglichen können.
  • 23 weitere Lücken stuft Google als hohes Risiko ein.

Resumen generado por IA

Por qué importa

Webbrowser sind ubiquitär genutzte Software mit direkter Internetanbindung, was sie zu attraktiven Zielen für Angreifer macht. Use-after-free-Schwachstellen ermöglichen das Ausnutzen bereits freigegebener Speicherressourcen für Codeausführung.

Tamaño de fuente

Wer weitverbreitete Webbrowser wie Googles Chrome oder Mozillas Firefox einsetzt, sollte zügig die bereitstehenden Aktualisierungen anwenden. Sie schließen als kritisches Risiko eingestufte Sicherheitslücken, die Angreifern unter anderem Codeschmuggel ermöglichen.

Webbrowser Google Chrome

Google-Entwickler arbeiten inzwischen offenbar auch mit KI zur Schwachstellensuche, die aktualisierten Versionen 147.0.7727.137 (Android, Linux) und 147.0.7727.137/138 (macOS, Windows) stopfen 30 Sicherheitslücken auf einen Schlag – seit einigen Wochen ist hier eine deutliche Erhöhung der gefundenen und korrigierten Sicherheitslecks zu beobachten. In der Versionsankündigung deuten sie knapp an, in welchen Komponenten des Browsers welcher Schwachstellentyp mit welchem Schweregrad gefunden wurde. Demnach können Angreifer etwa mit manipulierten Webseiten eine Use-after-free-Lücke in der Canvas-Komponente von Chrome unter Linux oder ChromeOS zum Ausführen von beliebigem Code in einer Sandbox missbrauchen (CVE-2026-7363, kein CVSS, Risiko laut Google „kritisch“). Unter iOS hat Chrome ebenfalls eine Use-after-free-Schwachstelle, die beim Verarbeiten von manipulierten Webseiten Speicher auf dem Heap durcheinander bringt (CVE-2026-7361, kein CVSS, Risiko laut Google „kritisch“). Unter Windows gibt es bei den Barrierefreiheitsroutinen in Chrome eine Use-after-free-Lücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7344, kein CVSS, Risiko „kritisch“). Im User-Interface-Framework Views klafft ebenfalls eine Use-after-free-Sicherheitslücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7343, kein CVSS, Risiko „kritisch“). Bei Use-after-free-Schwachstellen nutzt der Programmcode bereits freigegebene Ressourcen, wodurch dort undefinierte Inhalte liegen – was sich oftmals etwa zum Ausführen von eingeschleustem Schadcode missbrauchen lässt. 23 weitere Sicherheitslücken stuft Google als hohes Risiko ein.

Firefox-Webbrowser

Die Mozilla-Foundation hat derweil die Versionen Firefox 150.0.1, Firefox ESR 140.10.1 und Firefox ESR 115.35.1 herausgegeben. Sie eint gemeinsame Sicherheitslücken, die die Speichersicherheit betreffen, also etwa Zugriffe außerhalb vorgesehener Speicherbereiche ermöglichen. Die Entwickler gehen jedoch nicht in die Details (CVE-2026-7322, CVSS 7.3 (laut CISA), Risiko nach Mozilla aber „kritisch“). Bei keiner der Schwachstellen geben die Entwickler an, dass es Hinweise auf Missbrauch im Internet gibt. Dennoch sollten Nutzerinnen und Nutzer zügig sicherstellen, mit abgesicherten Versionen im Netz unterwegs zu sein. Den aktuell laufenden Softwarestand zeigen bei allen Webbrowsern die Versionsdialoge an, die sich durch Klick auf das Einstellungsmenü und dort unter „Hilfe“ – „Über <Browsername>“ öffnen. Steht ein Update zur Verfügung, meldet der Dialog das und bietet die Installation an. Unter Linux ist dafür in der Regel die Softwareverwaltung der Distribution zuständig. Auf Mobilgeräten zeichnen sich hingegen die App-Stores für die Updateverwaltung verantwortlich. Allerdings stehen die Aktualisierungen dort oft erst mit Verzögerung bereit.

Auf diesen Projekten aufsetzende Browser wie der Chromium-basierte Microsoft Edge dürften in Kürze ebenfalls Aktualisierungen anbieten, die die Sicherheitslecks ausbessern. Ebenso ist für das Mailprogramm Thunderbird in Kürze mit Updates zu rechnen, da es auf dem verwundbaren Firefox-Code basiert.

Qué observar

Perspectiva de IA — posibilidades, no hechos

  • Microsoft Edge wird in den kommenden Tagen ein Sicherheitsupdate veröffentlichen

    Muy probable · En días

  • Thunderbird wird ein Update auf Firefox-Basis veröffentlichen

    Probable · En semanas

Preguntas abiertas

  • Welche genauen CVSS-Scores haben die Chrome-Lücken?
  • Gibt es bereits bekannte Angriffe gegen diese Schwachstellen?
  • Wann genau erscheinen die Edge- und Thunderbird-Updates?

Temas relacionados

This article was originally published by Heise Online.

Noticias relacionadas

Más sobre este temagoogle chrome