Chrome und Firefox schließen dozenschwere Sicherheitslücken
Kritische Use-after-free-Lücken in Chrome 147 und Firefox 150 – 30 Schwachstellen in Google-Browser, 23 weitere als hohes Risiko eingestuft
En resumen
- Google Chrome 147 und Mozilla Firefox 150 schließen dozenschwere Sicherheitslücken.
- Chrome stopft 30 Schwachstellen, darunter vier kritische Use-after-free-Lücken (CVE-2026-7363, CVE-2026-7361, CVE-2026-7344, CVE-2026-7343), die Codeausführung in der Sandbox ermöglichen können.
- 23 weitere Lücken stuft Google als hohes Risiko ein.
Resumen generado por IA
Por qué importa
Webbrowser sind ubiquitär genutzte Software mit direkter Internetanbindung, was sie zu attraktiven Zielen für Angreifer macht. Use-after-free-Schwachstellen ermöglichen das Ausnutzen bereits freigegebener Speicherressourcen für Codeausführung.
Wer weitverbreitete Webbrowser wie Googles Chrome oder Mozillas Firefox einsetzt, sollte zügig die bereitstehenden Aktualisierungen anwenden. Sie schließen als kritisches Risiko eingestufte Sicherheitslücken, die Angreifern unter anderem Codeschmuggel ermöglichen.
Webbrowser Google Chrome
Google-Entwickler arbeiten inzwischen offenbar auch mit KI zur Schwachstellensuche, die aktualisierten Versionen 147.0.7727.137 (Android, Linux) und 147.0.7727.137/138 (macOS, Windows) stopfen 30 Sicherheitslücken auf einen Schlag – seit einigen Wochen ist hier eine deutliche Erhöhung der gefundenen und korrigierten Sicherheitslecks zu beobachten. In der Versionsankündigung deuten sie knapp an, in welchen Komponenten des Browsers welcher Schwachstellentyp mit welchem Schweregrad gefunden wurde. Demnach können Angreifer etwa mit manipulierten Webseiten eine Use-after-free-Lücke in der Canvas-Komponente von Chrome unter Linux oder ChromeOS zum Ausführen von beliebigem Code in einer Sandbox missbrauchen (CVE-2026-7363, kein CVSS, Risiko laut Google „kritisch“). Unter iOS hat Chrome ebenfalls eine Use-after-free-Schwachstelle, die beim Verarbeiten von manipulierten Webseiten Speicher auf dem Heap durcheinander bringt (CVE-2026-7361, kein CVSS, Risiko laut Google „kritisch“). Unter Windows gibt es bei den Barrierefreiheitsroutinen in Chrome eine Use-after-free-Lücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7344, kein CVSS, Risiko „kritisch“). Im User-Interface-Framework Views klafft ebenfalls eine Use-after-free-Sicherheitslücke, die den Ausbruch aus der Sandbox ermöglichen kann (CVE-2026-7343, kein CVSS, Risiko „kritisch“). Bei Use-after-free-Schwachstellen nutzt der Programmcode bereits freigegebene Ressourcen, wodurch dort undefinierte Inhalte liegen – was sich oftmals etwa zum Ausführen von eingeschleustem Schadcode missbrauchen lässt. 23 weitere Sicherheitslücken stuft Google als hohes Risiko ein.
Firefox-Webbrowser
Die Mozilla-Foundation hat derweil die Versionen Firefox 150.0.1, Firefox ESR 140.10.1 und Firefox ESR 115.35.1 herausgegeben. Sie eint gemeinsame Sicherheitslücken, die die Speichersicherheit betreffen, also etwa Zugriffe außerhalb vorgesehener Speicherbereiche ermöglichen. Die Entwickler gehen jedoch nicht in die Details (CVE-2026-7322, CVSS 7.3 (laut CISA), Risiko nach Mozilla aber „kritisch“). Bei keiner der Schwachstellen geben die Entwickler an, dass es Hinweise auf Missbrauch im Internet gibt. Dennoch sollten Nutzerinnen und Nutzer zügig sicherstellen, mit abgesicherten Versionen im Netz unterwegs zu sein. Den aktuell laufenden Softwarestand zeigen bei allen Webbrowsern die Versionsdialoge an, die sich durch Klick auf das Einstellungsmenü und dort unter „Hilfe“ – „Über <Browsername>“ öffnen. Steht ein Update zur Verfügung, meldet der Dialog das und bietet die Installation an. Unter Linux ist dafür in der Regel die Softwareverwaltung der Distribution zuständig. Auf Mobilgeräten zeichnen sich hingegen die App-Stores für die Updateverwaltung verantwortlich. Allerdings stehen die Aktualisierungen dort oft erst mit Verzögerung bereit.
Auf diesen Projekten aufsetzende Browser wie der Chromium-basierte Microsoft Edge dürften in Kürze ebenfalls Aktualisierungen anbieten, die die Sicherheitslecks ausbessern. Ebenso ist für das Mailprogramm Thunderbird in Kürze mit Updates zu rechnen, da es auf dem verwundbaren Firefox-Code basiert.
Qué observar
Perspectiva de IA — posibilidades, no hechos
Microsoft Edge wird in den kommenden Tagen ein Sicherheitsupdate veröffentlichen
Muy probable · En días
Thunderbird wird ein Update auf Firefox-Basis veröffentlichen
Probable · En semanas
Preguntas abiertas
- Welche genauen CVSS-Scores haben die Chrome-Lücken?
- Gibt es bereits bekannte Angriffe gegen diese Schwachstellen?
- Wann genau erscheinen die Edge- und Thunderbird-Updates?





