Google startete ein Update für Chrome im Notfall-Modus nach dem Erkennen, dass eine Schwere Schwachstelle - aufgezeichnet als CVE-2026-2441- wurde bereits aktiv genutzt. Das Unternehmen bestätigte dies in seiner offiziellen Mitteilung für die stabile Schreibtischbranche, wo es warnt, dass es eine Explosion "in der Natur" und empfiehlt, dass die Benutzer den Patch so schnell wie möglich installieren, um das Risiko zu reduzieren. Sie können die Originalversion auf dem Chrome Releases Blog lesen: Chromerease.com.
Das technische Problem hinter dieser Korrektur ist ein typischer "use-after-free" Typfehler, der sich aus der Invalidierung eines Iterators bei der Umsetzung der Werte der typographischen Merkmale in CSS (CSSFontFeatureValuesMap) ergibt. In einfachen Worten, dies ist eine Bedingung, in der der Browser weiterhin versucht, einen bereits freigegebenen Teil des Speichers zu verwenden, der zu fremden grafischen Fehlern und Verhaltensweisen zur Datenverfälschung oder zur Ausführung von unerwünschtem Code führen kann, wenn ein Angreifer die Sicherheitslücke nutzt.
Die theoretischen Details des Ausfalls erscheinen in der Verpflichtungsgeschichte des Chromium-Projekts und dem dazugehörigen Ticket, das weiterhin an diesem Thema arbeitet. Die Patchabdeckungen das unmittelbare Problem aber Entwickler zeigen in Chromiums Bugtracker anhängige Aufgaben an: crbug.com / 483936078. Diese Aufzeichnung deutet darauf hin, dass einige Korrekturen rechtzeitig angewandt wurden und dass zusätzliche Arbeiten an möglichen Nebenwirkungen oder damit verbundenen Bedingungen überlassen werden können.
Ein Zeichen der Schwerkraft, die von Google wahrgenommen wird, ist, dass die Korrektur war "erry-picked" - das heißt, zurück Cover - auf die stabile Version, anstatt auf die nächste große Version zu warten. Diese Praxis wird verwendet, wenn ein Fehler ein echtes Risiko darstellt und möglichst schnell für die meisten Nutzer erreicht werden sollte.
Die Versionen, die das Update auf dem stabilen Desktop-Bereich erhalten, sind wie folgt: Windows und macOS mit Versionen 145.0.7632.75 / 76 und Linux mit 144.0.7559.75. Wenn Sie das Update manuell überprüfen und anwenden möchten, öffnen Sie Chrome, gehen Sie zu "Help" > "Google Chrome Information" und lassen Sie den Browser herunterladen und installieren Sie die neue Version; Google erklärt den Prozess auf seiner Support-Seite: Unterstützung.google.com. Wenn Sie den automatischen Track bevorzugen, installieren Chrome normalerweise Updates, wenn Sie den Browser neu starten.
Google hat noch keine spezifischen Details darüber vorgelegt, wer oder wie diese Schwachstelle in der Praxis genutzt wurde; das Unternehmen beschränkt oft die Offenlegung von technischen Informationen, bis die meisten Benutzer die Korrektur erhalten, um zu verhindern, dass bösartige Akteure die Details für zusätzliche Kampagnen wiederverwenden. Diese Politik gilt auch dann, wenn das Scheitern in einer Bibliothek von Drittanbietern erfolgt und andere Projekte noch keine eigenen Lösungen veröffentlicht haben.
Dieser Patch ist bemerkenswert, weil, obwohl im vergangenen Jahr Google korrigierte mehrere Null-Tage-Schwachstellen verwendet in realen Angriffen (viele von seiner Threat Analysis Group), bis 2026 gab es keine aktive Operation Korrektur in Chrome. Wenn Sie mehr über die Arbeit von Googles Bedrohungsanalyse-Team wissen wollen, ist Ihr Blog ein guter Hinweis: Blog.google / amenat-analys-group.
Was sollen Sie jetzt tun? Die praktischste und effektivste Sache ist, Chrome so schnell wie möglich zu aktualisieren und sicherzustellen, dass automatische Updates sind aktiv. Wenn Sie aus irgendeinem Grund nicht sofort aktualisieren können, vermeiden Sie das Öffnen von Links oder das Herunterladen von Inhalten aus zweifelhaften Ursprüngen und in Unternehmensumgebungen koordinieren Sie mit Ihrem IT-Team, um den Patch zentral einzusetzen. Andere Chrom-basierte Browser sollten auch auf dem neuesten Stand gehalten werden, da einige Projekte Komponenten teilen und möglicherweise ihre eigenen Patches benötigen.
Kurz gesagt, es ist eine weitere Erinnerung, dass Browser ein bevorzugtes Ziel für Angreifer bleiben: Sie sind das Gateway zu unseren Konten, Passwörtern und persönlichen Daten. Updating jetzt ist die beste Verteidigung und die Kombination von schnellen Patches, amtlichen Quellenüberwachung und grundlegenden sicheren Navigationspraktiken reduziert das Risiko erheblich.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...