25. Mai 2026, 11:14 Uhr | Lesezeit: 3 Minuten
Google hat versehentlich Exploit-Code für eine bislang ungepatchte Sicherheitslücke in Chromium veröffentlicht. Damit könnten Millionen Nutzer betroffen sein, denn die Browser-Engine steckt nicht nur hinter Google Chrome, sondern auch hinter Microsoft Edge und vielen weiteren Programmen.
Die Schwachstelle wurde öffentlich, obwohl sie offenbar weiterhin nicht geschlossen ist. Besonders problematisch ist dabei, dass Angreifer die Lücke offenbar relativ unauffällig ausnutzen können.
Browser-Funktion wird für Angriffe missbraucht
Die Sicherheitslücke steckt laut dem Online-Magazin „Ars Technica“ in der sogenannten Browser-Fetch-Schnittstelle. Diese Funktion dient eigentlich dazu, große Dateien wie Videos im Hintergrund zu laden.
Über die Schwachstelle sollen Angreifer jedoch dauerhafte Verbindungen herstellen können. Dadurch wäre es möglich, das Surfverhalten von Nutzern zu überwachen oder Browser als anonymen Proxy zu verwenden. Auch verteilte Denial-of-Service-Angriffe könnten damit umgesetzt werden. Je nach Browser sollen diese Verbindungen sogar nach einem Neustart des Programms oder des Geräts bestehen bleiben. Genau das macht die Lücke besonders kritisch.
Angriff bleibt offenbar weitgehend unbemerkt
Laut Beschreibung reicht bereits der Besuch einer manipulierten Website aus, damit ein Browser kompromittiert wird. Nutzer sollen davon kaum etwas bemerken. Bei Microsoft Edge werde demnach nicht einmal eine Warnung angezeigt. Auf dem betroffenen Gerät entsteht laut Bericht eine eingeschränkte Hintertür. Diese kann anschließend Teil eines kleinen Botnetzes werden.
Die Möglichkeiten bleiben zwar auf Browser-Funktionen beschränkt. Trotzdem könnten Angreifer damit schädliche Websites aufrufen, Datenverkehr weiterleiten oder DDoS-Angriffe starten.
Sicherheitslücken in Android! Google rät dringend zu Update
Schwere Sicherheitslücke in Google Chrome! Update dringend erforderlich
Alle großen Betriebssysteme betroffen
Die Schwachstelle funktioniert offenbar unabhängig vom verwendeten Betriebssystem. Damit sind nicht nur Windows-Rechner betroffen, sondern auch Macs und Linux-PCs. Zusätzlich könnte die Lücke zusammen mit weiterer Schadsoftware genutzt werden. Dadurch wären schwerwiegendere Angriffe denkbar.
Entdeckt wurde die Schwachstelle von der Sicherheitsforscherin Lyra Rebane. Sie informierte Google bereits Ende 2022 darüber. Später bemerkte Rebane auch, dass Google den entsprechenden Eintrag samt Exploit-Code öffentlich gemacht hatte. Intern stuften Entwickler das Problem offenbar als ernst ein. Die Priorität wurde mit P1 angegeben, die Schwere mit S2.
Trotzdem blieb die Sicherheitslücke bislang ungepatcht. Nachdem Google den Bugtracker-Eintrag veröffentlichte, ging Rebane zunächst davon aus, dass bereits eine Lösung existiert. Kurz darauf stellte sich jedoch heraus, dass die Lücke weiterhin offen war.
Auch interessant: Google stellt auf der I/O 2026 große KI-Offensive vor
Alternative Browser könnten helfen
Google entfernte den Beitrag zwar inzwischen wieder. Über Archivseiten bleibt der Eintrag inklusive Exploit-Code jedoch weiterhin erreichbar. Nutzer sollten deshalb aktuell besonders aufmerksam sein und ihren Virenschutz aktuell halten. Außerdem könnte es helfen, vorübergehend einen Browser zu verwenden, der nicht auf Chromium basiert. Beispiele hierfür wären unter anderem Mozilla Firefox, Safari von Apple oder Tor.
Es bleibt abzuwarten, wie schnell Google eine Lösung für die Sicherheitslücke bereitstellt und wann andere Chromium-Browser entsprechende Updates übernehmen.