Kurzer Hinweis für Nutzer von Chromium-basierten Browsern. Den Google Entwicklern ist ein Fehler passiert und sie haben Exploit-Code für eine ungefixte Schwachstelle veröffentlicht. Der Google Chrome wurde im Stable Channel zum 20. Mai 2026 mit einem Early Stable-Update auf Version 149.0.7827.22/.23 gehoben. Gilt für den Desktop – die Android-App wurde auch aktualisiert.
Google Chrome (Early Stable) 149.0.7827.22/.23
Der betreffende Eintrag findet sich im Google-Blog. Der Stable-Channel wurde per Update für macOS und Windows auf die Version 149.0.7827.22/.23 aktualisiert. Für Linux gibt es keine Updates. Zudem gab es ein Update Chrome 149 (149.0.7827.22) für Android.
Die Kollegen von deskmodder.de berichten hier, dass für den "Google Chrome 148.0.7778.178/179 auch Sicherheitskorrekturen" nachgetragen worden seien. Das bezieht sich auf dieses Chrome-Update vom 19. Mai 2026, die 16 Schwachstellen schließt.
Für den Edge habe ich noch nichts an Updates gefunden. Aber sowohl der Google Chrome, als auch der Microsoft Edge-Browser, sollten sich, automatisch aktualisieren. Man kann auch versuchen, den Browser auch manuell (über das Menü und den Befehl Über Google Chrome) zu aktualisieren. Die aktuelle Build des Chrome-Browsers für Windows lässt sich auch hier herunterladen.
Google veröffentlicht irrtümlich Exploit-Code
Es ist mir die Nacht in diversen Posts untergekommen. Den Google Entwicklern ist ein Fehler passiert, wodurch ein Exploit-Code für den Chrome versehentlich veröffentlicht wurde.
Die Kurzfassung aus obigem Slashdot-Post lautet, dass Google hat am Mittwoch (20. Mai 2026) den Exploit-Code für eine noch nicht behobene Sicherheitslücke in der Chromium-Browser-Codebasis veröffentlicht habe. Dies würde nun zum Risiko für Millionen von Nutzern von Chrome, Microsoft Edge und praktisch allen anderen Chromium-basierten Browsern.
Der Proof-of-Concept-Code nutzt die Programmierschnittstelle "Browser Fetch" aus, einen Standard, der das Herunterladen langer Videos und anderer großer Dateien im Hintergrund ermöglicht. Ein Angreifer kann den Exploit nutzen, um eine Verbindung herzustellen, über die er bestimmte Aspekte der Browser-Nutzung eines Benutzers überwachen kann, sowie als Proxy, um Websites aufzurufen und Denial-of-Service-Angriffe zu starten.
Je nach Browser werden die Verbindungen entweder wieder geöffnet oder bleiben auch nach einem Neustart des Browsers oder des Geräts, auf dem er läuft, offen. Die gestern noch nicht behobene Sicherheitslücke kann von jeder Website ausgenutzt werden, die ein Nutzer besucht. Es ist quasi eine Hintertür.
Die Möglichkeiten beschränken sich auf das, was ein Browser leisten kann, wie zum Beispiel den Besuch bösartiger Websites, das Bereitstellen anonymer Proxy-Zugänge für andere, die Durchführung von DDoS-Angriffen über Proxys und die Überwachung der Nutzeraktivitäten.
Ich gehe davon aus, dass das oben erwähnte Early Stable Update genau diese Schwachstelle schließt. Laut diesem heise-Artikel haben auch Firefox, Tor, Thunderbird & Co. Updates erhalten oder bekommen diese.
MVP: 2013 – 2016
Diese "Browser Fetch" Schnittstelle für Webserver gefällt mir irgendwie garnicht. Ich mag nichrt, wenn ein Webserver auf dem Weg in den Browser hineinregieren kann. Hat Firefox das auch?
Kann man das abschalten?
Anscheinend nicht. Nur das prefetch lässt sich über about:config abschalten. Aber dadrin steckt nicht das Problem. Das betroffene fetch-API ist eine andere Baustelle. (KI)!
Aus dem verlinkten heise-Artikel:
"eine seit rund zweieinhalb Jahren gemeldete Schwachstelle"
"ein Fix dafür steht jedoch noch aus"
—
Die Entdeckerin der Schwachstelle schreibt auf Mastodon:
"back in 2022 i found a bug that would let me, with no user interaction, turn any chromium-based browser into a permanent js botnet member"
"today, almost 4 years later, the bug is finally public:"
Warum ist das so lange (4 Jahre!) nicht gefixt worden und ab welcher Version ist es gefixt ("public" ist ungleich "fixed")?
Zitat hier aus dem Blog:
"Ich gehe davon aus, dass das oben erwähnte Early Stable Update genau diese Schwachstelle schließt."
—
Man geht besser nicht davon aus, bevor man es genau weiß..
Aus dem Mastodon-Strang, wo die Entdeckerin der Schwachstelle schreibt:
Früher gab es im Edge ein Pop-Up, wenn die Schwachstelle ausgenutzt wurde, aktuell nicht mehr. Es wurde also verschlimmert anstatt die Lücke zu schließen. Außerdem läuft der JavaScript Remote Code Exploit weiter, auch wenn man den Edge Browser schließt. Es reicht, eine präparierte Webseite bloß anzusurfen.
Also Zero-Click Drive-by Infektion.
"Even worse, edge no longer even makes the download menu pop up, so it's completely silent js rce that keeps running even after you close the browser !!
all from just visiting a single website once !!"