Google hat mit Chrome 136 ein Sicherheitsupdate veröffentlicht, das eine seit über 20 Jahren bestehende Schwachstelle im Browser-Verlauf beseitigt. Die kritische Sicherheitslücke ermöglichte es Angreifern bisher, durch die Analyse von Link-Farben auf Webseiten die Browserverlauf-Daten von Nutzern auszuspähen.
Technische Details der Sicherheitslücke
Die Schwachstelle basiert auf dem CSS-Pseudoklassen-Selektor :visited, der auf HTML-Elemente mit href-Attributen angewendet wird. Durch die unterschiedliche farbliche Darstellung besuchter und unbesuchter Links konnten Angreifer Side-Channel-Attacken durchführen, um die Browserverlauf-Informationen von Nutzern zu extrahieren. Diese fundamentale Designschwäche existiert seit der Einführung des CSS-Standards.
Entwicklung und bisherige Lösungsansätze
Der Google-Entwickler David Baron entdeckte die Sicherheitslücke erstmals im Jahr 2002. Trotz mehrerer Eindämmungsversuche, wie der Einschränkung der window.getComputedStyle-Methode, fanden Sicherheitsforscher immer wieder Wege, die implementierten Schutzmaßnahmen zu umgehen. Die Problematik blieb bis 2025 ein signifikantes Datenschutzrisiko.
Neue Sicherheitsarchitektur in Chrome 136
Die neue Sicherheitsarchitektur in Chrome 136 implementiert ein Partitionierungssystem für den Browserverlauf. Das System basiert auf drei Parametern: der Link-URL, der Domain der Quellseite und der Frame-Origin. Diese Segmentierung verhindert effektiv domainübergreifende Verlaufsabfragen und schützt die Privatsphäre der Nutzer.
Implementierung der neuen Sicherheitsfunktion
Das Update erfordert eine exakte Übereinstimmung aller drei Parameter, bevor ein Link als „besucht“ markiert wird. Diese strikte Isolation macht es Websites unmöglich, den Besuchsstatus von Links auf anderen Domains zu überprüfen. Die neue Architektur gewährleistet maximale Privatsphäre bei gleichzeitiger Beibehaltung der gewohnten Browserfunktionalität.
Wer war betroffen?
Die Schwachstelle betraf alle Nutzer von Webbrowsern, die den CSS-:visited-Selektor unterstützen — also praktisch jeden modernen Browser. Besonders gefährdet waren Nutzer, die sensible Webseiten (z. B. Online-Banking, Gesundheitsportale, politische Websites) besucht hatten. Werbetreibende und Tracker konnten diese Technik einsetzen, um Nutzerprofile ohne Einwilligung zu erstellen und zielgerichtete Inhalte auszuliefern. Als erster großer Browser implementiert Chrome 136 eine umfassende Lösung gegen diese CSS-basierte Verlaufsverfolgung.
Empfohlene Maßnahmen für Nutzer
- Chrome auf Version 136 oder neuer aktualisieren — die Funktion ist ab Chrome 136 standardmäßig aktiv
- Automatische Browser-Updates aktivieren, um zukünftige Sicherheitsupdates sofort zu erhalten
- Für erhöhten Schutz zusätzlich den „Erweiterter Schutzmodus“ (Enhanced Safe Browsing) in den Chrome-Einstellungen aktivieren
- Nutzer anderer Browser sollten prüfen, ob ihr Browser ähnliche Schutzmechanismen implementiert hat
Cybersicherheitsexperten wie Lukasz Olejnik und die CISA bewerten diese Neuerung als bedeutenden Fortschritt für die Online-Privatsphäre. Das Update ist seit April 2025 verfügbar.
