Google hat vor Kurzem eine Zero-Day-Sicherheitslücke geschlossen, die es Hackern ermöglichte, bösartigen Code innerhalb der Sandbox von Chrome auszuführen.
Use-after-free-Sicherheitslücke behoben
Die Sicherheitslücke (CVE-2026-2441) ist ein mit einem CVSS-Score von 8.8 eingestufter Use-after-free-Fehler mit hohem Schweregrad. UAF (Use-after-free) tritt auf, wenn Chrome versucht, auf Speicher zuzugreifen, der bereits freigegeben oder gelöscht wurde. Dieser Vorgang hinterlässt freien Speicherplatz, den Angreifer manipulieren können, um Schadcode auszuführen.
Diese spezifische Schwachstelle zielt auf den CSS-Bereich von Chrome ab, genauer gesagt auf die CSSFontFeatureValuesMap-Engine, die fortgeschrittene Schriftarten verarbeitet. Hacker können bösartige Webseiten mit speziellen Schriftarten erstellen, um den Angriff auszulösen. Das Gefährliche daran: Es ist kein Klick oder Download erforderlich. Allein der Besuch einer infizierten Website kann den Angriff aktivieren und Schadcode im Speicher von Chrome ausführen.
Google hat keine Einzelheiten darüber bekannt gegeben, wie die Sicherheitslücke genutzt wurde oder wer die Ziele waren, bestätigte jedoch, dass sie aktiv ausgenutzt wird.
Für optimalen Schutz wird den Nutzern empfohlen, den Chrome-Browser unter Windows und Mac auf die Version 145.0.7632.75/76 und unter Linux auf die Version 144.0.7559.75 zu aktualisieren.
