Google hat ein Notfall-Update für Chrome implementiert, das zwei Schwere Schwachstellen, die bereits im Zero-Day-Zustand ausgenutzt werden beheben. In seiner offiziellen Mitteilung erkennt das Unternehmen, dass es Beweise für die aktive Ausbeutung beider Fehler gibt und Patches für stabile Desktop-Versionen unter Windows, macOS und Linux freigegeben hat.
Einer der Fehler kommt von einer Off-Limit-Schreibe in Skia die Open Source-Bibliothek, die für die Wiedergabe von 2D in mehreren Projekten verantwortlich ist, einschließlich Chromium. Diese Art von Fehler - bekannt als Out-of-bounds schreiben - kann dazu führen, dass der Browser blockiert oder im schlimmsten Fall willkürliche Codeausführung ermöglicht, wenn ein Angreifer es schafft, den betroffenen Speicher zu manipulieren. Skia ist eine kritische Komponente in der Rendering-Kette, so dass jeder Fehler in Ihrer Verwaltung von Grafikobjekten ernsthafte Auswirkungen auf die Browser-Sicherheit haben kann. Weitere Informationen über den technischen Charakter dieser Art von Schwäche sind in der relevanten CWE-Beschreibung in MITTEL und auf der Seite des Skia-Projekts selbst in Skia.org.
Die andere Schwachstelle betrifft die V8-Engine, die für JavaScript und WebAssembly verantwortlich ist. Google beschreibt es als ein unzureichendes Implementierungsproblem in V8, das genutzt werden könnte, um die Sicherheit der Codeausführung im Browser zu gefährden. V8 ist das Stück, das den Web-Code interpretiert und optimiert, den die meisten modernen Seiten und Anwendungen verwenden; daher können Fehler in seiner Logik sehr wertvolle Türen für persistente Angreifer öffnen. Das V8-Projekt unterhält Dokumentation und Ressourcen in v8.dev.
Google hat keine ausführlichen technischen Details zu bestimmten Betriebsvorfällen veröffentlicht, weil es den Zugriff auf sensible Informationen einschränkt, bis die meisten Benutzer den Patch erhalten haben oder wenn Bibliotheken Dritter, die dieselbe Sicherheitslücke teilen, ebenfalls korrigiert wurden. Diese Praxis versucht, mehr Angreifer daran zu hindern, Exploits zu schaffen, bevor Geräte und Benutzer aktualisiert werden.
Die Versionen mit dem bereits für den stabilen Kanal veröffentlichten Patch sind 146.0.7680.75 unter Windows, 146.0.7680.76 auf macOS und 146.0.7680.75 auf Linux.. Google hat das Update dringend verteilt und, obwohl es warnt, dass die vollständige Bereitstellung dauert Tage oder Wochen, um alle Benutzer zu erreichen, einige Analysen und Überprüfungen - wie die mit spezialisierten Mitteln gemacht - haben den Patch sofort auf mehreren Teams gefunden.
Wenn Sie Chrome verwenden, ist die praktischste und sichere Sache, so schnell wie möglich zu aktualisieren und den Browser neu zu starten. Sie können eine Update-Check aus dem Chrome-Menü oder lassen Sie Ihre eigenen automatischen Update-Einstellungen die Arbeit tun und installieren Sie den Patch im nächsten Browser-Start. Wenn die automatischen Updates aktiviert werden, reduziert sich die Zeit, in der ein anfälliger Browser freiliegt.
Es ist wichtig zu erinnern, dass viele Chromium-basierte Browser Komponenten wie Skia und V8 teilen. Dies bedeutet, dass, wenn ein Ausfall in diesen Elementen entdeckt wird, andere Implementierungen, die sie integrieren, auch betroffen sein können und müssen ihre eigenen Patches veröffentlichen. Deshalb sollten die Updates von alternativen Browsern und die Sicherheitswarnungen ihrer Entwickler berücksichtigt werden.
Dieses Paar von Korrekturen wird zu anderen von Google arrangierten "Nulltage" hinzugefügt, soweit das Jahr geht. Anfang Februar wurde bereits eine weitere aktiv genutzte Schwachstelle im Zusammenhang mit der Umsetzung von Werten typografischer Merkmale in CSS korrigiert. Im Jahr 2025 schloss das Unternehmen acht Null-Tage-Versagen, die in realen Umgebungen ausgenutzt wurden, viele von ihnen berichtet von seiner Threat Analysis Group (TAG), dem internen Team, das anspruchsvolle Bedrohungen verfolgt und analysiert. Um Googles Mitteilung über Chrome-Updates zu überprüfen, können Sie die offizielle Veröffentlichung auf dem Chromium Release Blog sehen Chromerease.com.
Auch das fehlerbeugende Ökosystem bleibt aktiv: Google berichtete kürzlich Millionen von Zahlungen an Forscher, die Schwachstellen durch sein Belohnungsprogramm gemeldet. Wenn Sie daran interessiert sind, wie Bug-Bounce-Initiativen funktionieren und wo Fehler gemeldet werden, ist die offizielle Seite des Programms auf Bughunters.com.
Was können Benutzer neben dem Update tun? Die Aufrechterhaltung des Betriebssystems und der aktuellen Anwendungen reduziert die Angriffsfläche; das Öffnen von unbekannten Links oder Dateien zu vermeiden und nicht zuzulassen, dass nicht geprüfte Quelleinrichtungen das Risiko, in Betriebstechniken zu fallen, die außerhalb des Browsers starten. Für Unternehmensumgebungen helfen Maßnahmen wie die zentralisierte Anwendung von Patches, die Verwendung von Endpoints-Management-Tools und Netzwerksegmentierung mögliche Intrusionen. Medien und Sicherheit BlepingComputer Sie decken diese Art von Warnung oft schnell ab und können verwendet werden, um die Evolution des Vorfalls zu überwachen.
Kurz gesagt, das sind zwei ernsthafte und aktiv ausgenutzte Fehler, die eine dringende Korrektur erhalten haben. Die Hauptempfehlung ist, Chrome so schnell wie möglich zu aktualisieren und automatische Updates aktiv zu halten, weil in der Sicherheit oft der Unterschied zwischen dem Belichten oder Schutzen ist einfach akzeptieren und installieren einen Patch auf Zeit.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...