Google verteilt Chrome 145 mit drei High-Severity-Fixes für Desktop und Android
Google hat den Stable Channel von Chrome auf Version 145 aktualisiert und schließt drei als High eingestufte Sicherheitslücken.
- Chrome 145 wird für Desktop-Systeme ausgerollt und bringt mehrere Security-Fixes in den Stable Channel.
- Google nennt drei High-Severity-Lücken, darunter Out-of-bounds-Fehler in Media und Tint sowie eine DevTools-Schwachstelle.
- Die NVD führt die Lücken als CVE-2026-3061, CVE-2026-3062 und CVE-2026-3063.
- Das Chrome-Team spricht von einem Rollout über die kommenden Tage beziehungsweise Wochen.
- Auch Chrome 145 für Android ist veröffentlicht und wird über Google Play verteilt.
Google hat ein Update für den Stable Channel des Chrome‑Browsers veröffentlicht und den Desktop‑Build auf Version 145.0.7632.116/117 (Windows und macOS) sowie 145.0.7632.116 (Linux) angehoben. Das Chrome‑Team nennt in der Release‑Notiz drei Security‑Fixes und stuft sie jeweils als „High“ ein. Die Verteilung erfolgt nicht als einzelner Stichtag, sondern wird über Tage beziehungsweise Wochen ausgerollt.
Die Release‑Notiz verweist darauf, dass Detailinformationen zu Sicherheitsbugs häufig zunächst eingeschränkt bleiben, bis ein großer Teil der Nutzer die Fixes erhalten hat. Das ist in Chrome ein gängiges Vorgehen, um die Zeit zu verkürzen, in der verwundbare Installationen mit vollständigen Exploit‑Details im Umlauf sind. Für Unternehmen bedeutet das: Die Risikoanalyse basiert anfangs oft auf einer Kombination aus CVE‑Kurzbeschreibung, betroffenen Versionen und der Schwereeinstufung.
Die drei im Update genannten Lücken werden im National Vulnerability Database (NVD) als CVE‑2026‑3061, CVE‑2026‑3062 und CVE‑2026‑3063 geführt. CVE‑2026‑3061 beschreibt einen Out‑of‑bounds‑Read in der Media‑Komponente, der über eine präparierte HTML‑Seite ausgelöst werden kann. CVE‑2026‑3062 betrifft laut NVD einen Out‑of‑bounds‑Read und ‑Write in „Tint“ auf macOS, ebenfalls auslösbar über speziell gestaltete Web‑Inhalte. CVE‑2026‑3063 wird als fehlerhafte Implementierung in DevTools beschrieben, die in einem Szenario mit einer bösartigen Browser‑Erweiterung zu Script- oder HTML‑Injection in privilegierten Seiten führen kann.
Für den Patch‑Prozess ist außerdem relevant, dass Chrome auf mehreren Plattformen parallel aktualisiert wird. Neben dem Desktop‑Update hat Google am selben Tag ein Release für Android veröffentlicht (Chrome 145.0.7632.120), das über Google Play verteilt wird und laut Release‑Hinweis Stabilitäts- und Performance‑Verbesserungen enthält. Das zeigt, dass Security‑Fixes in der Regel nicht isoliert für ein Betriebssystem erscheinen, sondern als Paket in den jeweiligen Release‑Streams landen.
Die neue Versionslinie 145 ist damit ein weiteres Beispiel dafür, wie schnell Browser-Sicherheit in Richtung „kontinuierlicher Wartung“ verschoben ist: Selbst wenn einzelne CVEs zunächst ohne tiefen technischen Kontext erscheinen, geben Versionsnummern und Fix‑Fenster klare Anhaltspunkte für IT‑Teams, um Patch‑Stände in Flotten zu überprüfen und Rollouts einzuplanen.