Google veröffentlicht versehentlich Details zu ungepatchter kritischer Schwachstelle
Google hat versehentlich Details zu einer vor drei Jahren gemeldeten Sicherheitslücke veröffentlicht. Die noch nicht gepatchte Schwachstelle steckt in der Browser-Engine Chromium und macht nicht nur Googles eigenen Web-Browser angreifbar.
Ein dummer Fehler beim Tech-Konzern Google wird zum Cyberrisiko. Der Konzern aus Mountain View veröffentlichte versehentlich Details zu einer ungepatchten Schwachstelle in Chromium. Dabei handelt es sich um die Browser-Engine, die nicht nur Googles eigenen Web-Browser Chrome antreibt, sondern etwa auch in Edge, Brave und Opera steckt.
Die Sicherheitslücke würde es ermöglichen, JavaScript auch nach dem Schliessen des Browsers im Hintergrund weiter auszuführen und damit gross angelegte missbräuchliche Anwendungen zu ermöglichen, berichtet "Bleeping Computer". Das Problem wurde bereits im Dezember 2022 von der Sicherheitsforscherin Lyra Rebane gemeldet. Laut ihrem Bericht kann ein Angreifer eine bösartige Webseite erstellen, die Service Worker dauerhaft ausnutzt. Ein einfacher Besuch der Seite würde dann genügen, um die dauerhafte Ausführung von JavaScript-Code auf dem Gerät des Opfers zu aktivieren – ohne weitere Interaktion.
Laut "Bleeping Computer" liessen sich somit etwa Botnetze aufbauen, DDoS-Angriffe durchführen, schädlicher Datenverkehr weiterleiten oder Daten abfangen. Die Schwachstelle soll sämtliche Chromium-basierten Browser betreffen.
Automatisch offengelegt
Google hatte die Sicherheitslücke im Februar 2026 in seinem internen Bug-Tracking-System als behoben markiert. Dies führte dazu, dass das System drei Monate später die Zugriffsbeschränkungen für die Details zur Sicherheitslücke automatisch aufhob und somit öffentlich einsehbar machte.
Doch laut Lyra Rebane lässt sich die Schwachstelle auch weiterhin in aktuellen Versionen von Chrome Dev 150 und Edge 148 ausnutzen.
Google bemerkte den Fehler zwar und schränkte den Zugriff auf die entsprechenden Dateien wieder ein. Die Informationen waren jedoch bereits mehrere Stunden lang öffentlich einsehbar gewesen. Für Hacker dürfte dies die Entwicklung von Exploits nun erheblich erleichtern, fürchtet Rebane, auch wenn die Erstellung eines massiven Botnetzes in der Praxis weiterhin komplex wäre. Die Expertin fügt hinzu, dass die Schwachstelle allein weder die Isolationsmechanismen des Browsers umgehen noch direkten Zugriff auf Dateien, E-Mails oder das Betriebssystem des Opfers ermöglichen könne.
Lesen Sie auch: Ein verdächtiges Python-Skript bringt Google auf die Spur eines möglichen KI-gestützten Zero-Day-Exploits. Das Modell soll dabei geholfen haben, die Zwei-Faktor-Authentifizierung eines webbasierten Open-Source-Tools zu umgehen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Google veröffentlicht versehentlich Details zu ungepatchter kritischer Schwachstelle
Die neue Printausgabe des "IT-Markt" ist da
Diese IT-Firmen gehören zu den beliebtesten Schweizer Arbeitgebern
Fürstentum Liechtenstein setzt auf KI-Chatbot
So will der Bundesrat für mehr Cybersicherheit im Telko-Bereich sorgen
Aveniq baut Private-Cloud-Angebot mit HPE aus
Informatec befördert internes Team in die Geschäftsleitung
Private Parkplatzüberwacher geben Personendaten über das Internet preis
So wollen Cyberkriminelle Whatsapp-Konten kapern
