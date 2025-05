Eine fehlerhafte Umsetzung einer Sicherheitsrichtlinie macht Chrome 136 angreifbar. Ein Sicherheitsforscher legt die Schwachstelle in einem Post auf X offen.

Google hat ein Sicherheitsupdate für Chrome 136 veröffentlicht. In den Versionen für Windows, macOS und Linux stecken vier Schwachstellen. Darunter ist eine Zero-Day-Lücke, die nach Angaben der Entwickler bereits aktiv von Hackern ausgenutzt wird. Der Entdecker machte den Bug den Versionshinweisen zufolge am 5. Mai über eine Post auf X (vormals Twitter) öffentlich.

Offenbar wurde Google vorab nicht über den Fehler informiert. Das erklärt auch, warum keine Prämie an den fraglichen Nutzer namens Slonser_ ausgeschüttet wurde – üblicherweise zahlt Google den Entdeckern von Schwachstellen in Chrome eine Prämie.

Die Zero-Day-Lücke beschreibt Google als eine fehlerhafte Umsetzung einer Sicherheitsrichtlinie in der Komponente Loader. Ein Angreifer soll laut US-NIST in der Lage sein, aus der Ferne auf Cross-Origin-Daten zuzugreifen. Ein Opfer muss lediglich dazu verleitet werden, eine speziell gestaltete Website in Chrome zu öffnen.

Details nennt Google noch zu einer weiteren Anfälligkeit in der Komponente Mojo. Informationen zu den anderen Fehlern werden indes zurückgehalten, bis eine Mehrheit der Nutzer auf die neue Version umgestiegen ist – oder weil eine Bibliothek eines Drittanbieters betroffen ist, von der auch andere Projekte abhängig sind.

Nutzer sollten nun möglichst zeitnah die fehlerbereinigte Version 136.0.7103.113/.114 für Windows und macOS oder 136.0.7103.113 für Linux installieren. Die Verteilung erfolgt automatisch über die Update-Funktion von Chrome. Die Aktualisierung lässt sich aber auch manuell über den Punkt „Über Google Chrome“ im Hilfe-Menü des Browsers anstoßen. Zum Abschluss der Installation ist ein Neustart von Chrome erforderlich.