In der Nacht zum 11. März 2026 hat Google mit einem Update insgesamt 29 Schwachstellen in seinem Webbrowser Chrome geschlossen, darunter eine mit der höchsten Risikoeinstufung „kritisch“. Gemeldet hat die Schwachstelle Tobias Wienand, CASA-Doktorand von PI Flavio Toffalini und Teil des Lehrstuhls für Automated Security Analysis an der Fakultät für Informatik.
In seiner Forschung beschäftigt er sich mit Browsersicherheit und Fuzzing – genau das Software-Testverfahren, mit dem er die kritische Sicherheitslücke entdeckt hat:
„Das Fuzzing war erfolgreich, weil ich mich gezielt auf den neuen Webstandard im GPU-Prozess konzentriert habe,“ erklärt Tobias Wienand.
Gefährliche Sicherheitslücke im GPU-Prozess des Chrome-Browsers
Die Sicherheitslücke betraf eine WebNN-Komponente, auch bekannt als WebML-Komponente. Dabei handelt es sich um einen Webstandard, der im Chrome-Browser genutzt wird, um mithilfe neuronaler Netze Vorhersagen zu treffen. Sie gilt als besonders kritisch, da der entsprechende Code im GPU-Prozess des Browsers ausgeführt wird – einem Bereich, der eng mit dem gesamten Betriebssystem verknüpft ist. Potenzielle Angriffe hätten somit besonders weitreichende Auswirkungen auf das System.
Erfolgreiche Meldung: Update schließt Google-Schwachstelle
Nach dem Prinzip des „Responsible Disclosure“ hat der CASA-Forscher die entdeckte Sicherheitslücke – neben einer weiteren mit der Risikobewertung „hoch“ – direkt an Google weitergegeben und im Gegenzug eine Belohnung erhalten. Das Technologieunternehmen hat die Sicherheitslücke anschließend mit einem Update geschlossen.
Die Berichterstattung rund um die Meldung der Google Sicherheitslücke wurde unter anderem auch von den Business- und Technikmagazinen Forbes und Heise aufgegriffen.
Pressekontakt
Annika Sengalski, annika.sengalski@rub.de
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.