Kurzer Hinweis für Nutzer des Google Chrome-Browsers. Google hat zum 23. Februar 2026 eine neue Version 145.0.7632.116/117 veröffentlicht, die gleich drei Schwachstellen im Browser beseitigt. Zudem ist mir ein Beitrag zu den Details einer weiteren Schwachstelle CVE-2026-2441 (vom 13. Februar 2026) untergekommen, wo es heißt dass diese ausgenutzt wird.
Google Chrome (Stable) 145.0.7632.116/117
Der betreffende Eintrag findet sich im Google-Blog. Der Stable-Channel wurde per Update für macOS und Windows auf die Version 145.0.7632.116/117 aktualisiert. Für Linux aktualisiert das Update den Browser auf die Version 144.0.7559.116. Für Android wurde Chrome auf die 145.0.7632.120 aktualisiert. Laut Google wurden folgende Schwachstellen im Chrome geschlossen.
- [TBD][482862710] High CVE-2026-3061: Out of bounds read in Media. Reported by Luke Francis on 2026-02-09
- [TBD][483751167] High CVE-2026-3062: Out of bounds read and write in Tint. Reported by cinzinga on 2026-02-11
- [TBD][485287859] High CVE-2026-3063: Inappropriate implementation
in DevTools. Reported by M. Fauzan Wijaya (Gh05t666nero) on 2026-02-17
Hinzu kommen verschiedene Korrekturen aus internen Audits, Fuzzing und anderen Initiativen. Sowohl der Google Chrome, als auch der Microsoft Edge-Browser sollten sich, sofern betroffen, automatisch aktualisiert haben. Man kann auch versuchen, den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) zu aktualisieren. Die aktuelle Build des Chrome-Browsers für Windows lässt sich auch hier herunterladen. (via)
Im Extended Stable Channel wird die Version 144.0.7559.225 für Windows und Mac in den kommenden Tagen/Wochen veröffentlicht.
Details zur Chrome-Schwachstelle CVE-2026-2441
Zum 13. Februar 2026 gab es das Update auf die Google Chrome Version 145.0.7632.75, weil in den älteren Versionen die Schwachstelle CVE-2026-2441 entdeckt worden war. Es handelt sich um eine "use after free" Schwachstelle in der CSS-Verarbeitung der Google Chrome-Browser vor Version 145.0.7632.75. Die Schwachstelle ermöglichte es einem Angreifer, über eine manipulierte HTML-Seite beliebigen Code innerhalb einer Sandbox auszuführen. Die Schwachstelle wurde mit einem CVSS 3.1-Score von 8.8 als Hoch eingestuft.
Orca Security schreibt dazu in obigem, aktuellen Tweer: "Eine Sicherheitslücke mit hohem Schweregrad (CVE-2026-2441) wurde in Google Chrome und der Chromium-Engine entdeckt. Diese ermöglicht es Angreifern, über bösartige Webinhalte beliebigen Code auszuführen. Die Schwachstelle wird laut diesem Blog-Beitrag ausgenutzt.
MVP: 2013 – 2016
Das passiert in letzter Zeit bei Chrome irgendwie gefühlt ständig. Ist das bei Firefox auch so schlimm und man kriegt das nur nicht mit?
Gibt es in Chrome nicht auch eine integrierte Sandbox, so dass ausgeführter bösartiger Code eben nicht sofort alles kompromittiert, aber irgendwie hört man da so rein garnix drüber bei solchen Sicherheitslücken, was genau die macht.
naja, diese Chrome Version schließt 3 Lücken,
die FF148 von heute 52, davon 31 Kritische.
Google Chrome 145.0.7632.116/117 24.02.2026
Google Chrome 145.0.7632.110 19.02.2026
Google Chrome 145.0.7632.75/76 16.02.2026
Google Chrome 145.0.7632.68 13.02.2026
Google Chrome 145.0.7632.46 12.02.2026
Google Chrome 144.0.7559.133 06.02.2026
Und das ist jetzt nur Februar. Ist ja einerseits gut, dass sie schnell patchen, immerhin ist der Browser das Tor zur Welt, aber andererseits kommt da ein zentrales Patchmanagement bei teils nur 3 Tage Abstand nicht immer hinterher, weil nicht immer alle Clients (lang genug) online sind um sie (schnell genug) zu aktualisieren. Und die Benutzer freuen sich auch über jeden Browserneustart, wenn dadurch Sitzungen geschlossen werden und sie sich alle paar Tage neu anmelden mussen und sich wieder in ihrem Portal an die Stelle navigieren müssen wo sie vorher waren.
Firefox ist insofern wichtig, weil es jetzt hoffentlich gleich auch ein ADMX gibt, über das man zentral die KI-Funktionen abschalten kann. Gleich mal schauen…