Chrome-Patches schließen 429 Sicherheitslücken, darunter 22 kritische – jetzt aktualisieren!

Wie üblich beschränkt Google den Zugriff auf detaillierte Beschreibungen der Sicherheitslücken und Einträge Bug-Tracker, bis die meisten Nutzer aktualisiert haben, um die Wahrscheinlichkeit zu verringern, dass Angreifer diese Informationen missbrauchen.

Diese Veröffentlichung richtet sich Desktop-Versionen für Windows, Mac und Linux sowie an koordinierte Behebungen für Chrome auf iOS, Chromecast und andere Ökosystem-Komponenten, die denselben Kerncode.

Für Unternehmen stellt das Update einen umfassenden Hardening-Schritt für mehrere Geräte dar, bei dem Chrome häufig als erste Verteidigungslinie gegen unzuverlässige Webinhalte, SaaS-Anwendungen und Cloud-Steuerungsebenen dient. Chrome patcht 429 Schwachstellen.

Technischer Hintergrund

429 Fehlern sind 22 als kritisch eingestuft; viele davon gehen auf Speicher-Sicherheitsmängel Grafik-, GPU- und Kernkomponenten des Browsers zurück. Dazu zählen Speicherbereichsüberschreitungen beim Lesen und Schreiben in ANGLE (beispielsweise CVE‑2026‑10881 und CVE‑2026‑10883) sowie ein Stapel-Pufferüberlauf im GPU-Stapel (CVE‑2026‑10898).

Mehrere Use-After-Free-Bedingungen betreffen die Bereiche Netzwerk, Chromecast, Cast Streaming, Chromoting, Druck, Dateisystem, GFX, Ozone sowie Chrome für iOS. Solche Mängel sind ideale Kandidaten für die Ausführung, das Entkommen aus der Sandbox und die Erhöhung, wenn sie mit Schwachstellen Renderer oder JavaScript-Engine kombiniert werden.

Das Vorhandensein mehrerer kritischer Probleme, die Chrome für iOS sowie die Cast-Komponenten betreffen, erhöht das Risikoprofil für Nutzer und Organisationen, die Chrome in mehrgeräten Arbeitsabläufen, Besprechungsräumen und hybriden Arbeitsumgebungen einsetzen.

Sicherheitslage und Risiko

Über den Kernbereich kritischer Schwachstellen hinaus hat Google eine erhebliche Anzahl ücken behoben, Webinhalten ausgenutzt werden können. Dazu gehören Typverwechslungen und Implementierungsfehler in V8, Use-After-Free-Fehler WebRTC, Network, WebAuthentication, Audio, UI und FileSystem sowie Integer-Overflows Dawn, DevTools, Media und V8.

Insgesamt stellen sie Bausteine für Exploit-Ketten dar, die Persistenz oder lateralen Bewegung innerhalb können. Hunderte ücken betreffen unzureichende Validierung ürdigen Eingaben, Umgehungen, uninitialisierte Nutzung und fehlerhafte Sicherheits-Benutzeroberflächen. CVE‑2026‑10881: Komponente: ANGLE; Fehlerklasse: Ausserhalb der Grenzen lesend/schreibend.

CVE‑2026‑10882: Komponente: Netzwerk; Fehlerklasse: Use-after-free. CVE‑2026‑10883: Komponente: ANGLE; Fehlerklasse: Out-of-Bounds-Write. CVE‑2026‑10884: Komponente: Chromecast; Fehlerklasse: Use-after-free. CVE‑2026‑10885: Komponente: Chrome for iOS; Fehlerklasse: Use-after-free. CVE‑2026‑10886: Komponente: FileSystem; Fehlerklasse: Use-after-free.

Sicherheitslage und Risiko

CVE‑2026‑10887: Komponente: Chromoting; Fehlerklasse: Use-after-free. CVE‑2026‑10888: Komponente: Cast Streaming; Fehlerklasse: Use-after-free. Schwachstellen bei der Datenverarbeitung Komponenten wie Passwort-Manager, WebView, CSS, SVG, USB, GPU, WebRTC, Safe Browsing und weiteren.

Obwohl diese Fehler einzeln weniger schwerwiegend sind, passen sie gut zu modernen Tracking- und Ausnutzungstechniken, ände über das Umgehen Erosion.

Das Update liefert zudem zahlreiche Schwachstellenkorrekturen geringen Schweregrads in peripheren, jedoch wichtigen Komponenten, darunter TabStrip, Navigation, DevTools, Inhaltseinstellungen, Sicheres Surfen, Erweiterungen, Unternehmensfunktionen und verschiedene Benutzeroberflächenelemente.

Sicherheitslage und Risiko

Diese Probleme betreffen häufig eine fehlerhafte Sicherheits-Benutzeroberfläche, unzureichende Durchsetzung, die, wenn sie nicht behoben werden, weiterhin in gezielten Szenarien missbraucht oder mit Schwachstellen höherer Auswirkung kombiniert werden könnten.

Google würdigt eine breite Gemeinschaft unabhängiger Forscher, akademischer Labore und interner Teams und hebt dabei die Rolle AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer und AFL hervor, die viele der Speicher-Sicherheitsmängel aufgedeckt haben.

Selbst mit dieser proaktiven Erkennung unterstreicht die enorme Anzahl die anhaltende Intensität der Arbeit an der Browser-Sicherheit und die Bedeutung einer rechtzeitigen Patch-Nutzung.

Sicherheitslage und Risiko

Angesichts der hohen Konzentration kritischer und schwerwiegender Schwachstellen Komponenten wie ANGLE, GPU, Netzwerk, Passwort-Manager, WebRTC und Chrome für iOS sollten Organisationen und Endnutzer den sofortigen Einsatz 149.0.7827.x priorisieren.

Sicherheitsteams sollten automatische Updates dort, wo dies möglich ist, erzwingen, den neuen Build über Verwaltungstools flächendeckend bereitstellen, die Abdeckung überprüfen und sich darauf vorbereiten, Ausnutzungsversuche Zusammenhang mit diesen CVEs zu verfolgen, sobald vollständige technische Details veröffentlicht werden.

Abi ist Sicherheitsredakteurin und weitere Reporterin bei