Chrome-Nutzer sollten sicherstellen, dass sie die aktuelle Version 128 des Google-Browsers verwenden. In einem Update zu den Versionshinweisen für Chrome 128 weist Google darauf hin, dass die Schwachstelle mit der Kennung CVE-2024-7965 inzwischen aktiv von Cyberkriminellen ausgenutzt wird. Betroffen sind Chrome 127 und früher für Windows, Linux und macOS.

Die fragliche Anfälligkeit steckt in der JavaScript-Engine V8. Google beschreibt den Bug als eine „fehlerhafte Implementierung“. Die Beschreibung und auch die von Google gezahlte Prämie in Höhe von 11.000 Dollar legt nahe, dass eine Remotecodeausführung möglich ist.

Darüber hinaus beseitigt das in der vergangenen Woche veröffentlichte Update auch eine Zero-Day-Lücke. Sie wurde vom Microsoft Threat Intelligence Center entdeckt und Google am 19. August gemeldet. Auch hier handelt es sich um einen Fehler in der JavaScript-Engine V8, der mit einem Notfall-Patch auch in Microsoft Edge korrigiert wurde.

Insgesamt erwähnt Google in Chrome Releases Blog 37 Sicherheitslöcher, die mit Chrome 128 gestopft wurden. Als besonders schwerwiegend sind unter anderem auch Lücken in den Komponenten Passwords und Skia einzustufen – sie wurde mit Prämien in Höhe von 36.000 beziehungsweise 10.000 Dollar belohnt.

Das Update für Chrome wird wie immer automatisch in den kommenden Tagen verteilt und installiert. Die Aktualisierung kann aber auch manuell über den Punkt „Über Google Chrome“ im Hilfe-Menü der Browsereinstellungen angestoßen werden. Zum Abschluss der Installation wird in jedem Fall ein Neustart des Browsers benötigt.