Thought Leadership
Google hat am Freitag über ein Notfall-Update für seinen Browser Chrome informiert. Die behobene Sicherheitslücke wurde bereits von Angreifern ausgenutzt. Es ist die erste solche Schwachstelle, die in diesem Jahr geschlossen wurde.
Google schreibt dazu: “Google ist sich bewusst, dass ein Exploit für CVE-2026-2441 in freier Wildbahn existiert.” Der Sicherheitsforscher Shaheen Fazim hat die Lücke gefunden. Es handelt sich um einen Use-After-Free-Fehler in der CSSFontFeatureValuesMap, dem Teil von Chrome, der CSS-Schriftmerkmale verarbeitet.
Was die Lücke anrichten kann
Über die Schwachstelle können Angreifer den Browser zum Absturz bringen, Darstellungsfehler erzeugen oder Daten beschädigen. Google erklärt in der Commit-Nachricht, dass der Patch zwar “das unmittelbare Problem” behebt, es aber noch “verbleibende Arbeiten” gibt. Weitere Probleme müssen also noch gelöst werden. Der Patch wurde über mehrere Versionen zurückportiert. Das ist ein Zeichen dafür, dass Google die Lücke für wichtig genug hielt, um nicht auf die nächste große Chrome-Version zu warten.
Google hält Details zurück
Wie genau die Angreifer die Lücke nutzen, verrät Google nicht. Die Begründung: “Der Zugang zu Bug-Details und Links kann eingeschränkt bleiben, bis die Mehrheit der Nutzer mit einem Fix aktualisiert wurde. Wir werden die Beschränkungen auch aufrechterhalten, wenn der Bug in einer Drittanbieter-Bibliothek existiert, von der andere Projekte in ähnlicher Weise abhängen, die aber noch nicht gepatcht wurde.”
