Google Chrome 148: Browser-Update schließt 127 Sicherheitslücken

Google hat externen Forschern für die verantwortungsvolle Offenlegung ücken über 100.000 US-Dollar an Bug-Bounties gezahlt; ein einzelner Forscher erhielt 55.000 US-Dollar für die Meldung eines hochkritischen Out-of-Bounds-Lese- und Schreibfehlers in V8. Kritische Chrome-Sicherheitslücken wurden behoben. Die drei als kritisch eingestuften Schwachstellen bergen das höchste Risiko.

CVE-2026-7896, ein Integer-Overflow im Blink-Rendering-Engine, wurde am 18. März und brachte eine Belohnung von 43.000 US-Dollar ein. CVE-2026-7897 und CVE-2026-7898 sind beide Use-After-Free-Schwachstellen, eine im Mobile-Komponente und eine in Chromoting (Chrome Remote Desktop), die beide intern 18. bzw. 20. April gemeldet wurden.

Use-After-Free-Fehler sind besonders gefährlich, da Angreifer durch Manipulation freigegebener Speicherbereiche beliebigen Code ausführen können. Die Kategorie „High Severity" umfasst eine breite Angriffsfläche. CVE-2026-7899, ein Out-of-Bounds-Read-and-Write-Fehler in V8, dem JavaScript-Engine, wurde (@pjwhatforlunch) gemeldet und erhielt die höchste Einzelprämie für dieses Update in Höhe von 55.000 USD.

CVE-2026-7900 und CVE-2026-7901 sind Heap-Buffer-Overflow-

CVE-2026-7900 und CVE-2026-7901 sind Heap-Buffer-Overflow- und Use-After-Free-Schwachstellen in ANGLE (die Grafikabstraktionsschicht) und wurden jeweils mit einer Prämie von 16.000 USD belohnt. Zudem wurde CVE-2026-7902, ein Out-of-Bounds-Speicherzugriff in V8, KAIST Hacking Lab gemeldet und erhielt eine Prämie von 8.000 USD.

Insgesamt stellen diese V8- und ANGLE-Schwachstellen erhebliche Risiken für Drive-by-Exploitationen durch bösartig erstellte Webseiten dar. Neben den Schwachstellen der höchsten Schweregrade behebt Chrome 148 eine Kaskade SVG, DOM, Fullscreen, GPU, WebRTC, Skia, Passwörter, ServiceWorker, PresentationAPI, WebAudio und weiteren.

Zu den Schwachstellen mittlerer Schwere gehören unter anderem ein Objekt-Lebenszyklus-Fehler in V8 (CVE-2026-7936), eine Typenverwechslung in WebRTC (CVE-2026-7988) sowie unzureichende Durchsetzung, Erweiterungen und DirectSockets.

Besonders hervorzuheben ist CVE-2026-8022, eine Schwachstelle

Besonders hervorzuheben ist CVE-2026-8022, eine Schwachstelle niedriger Schwere mit einer unangemessenen Implementierung in MHTML, die es einem entfernten Angreifer ermöglichen könnte, Daten aus anderen Herkunftsbereichen zu veröffentlichen, wenn ein Benutzer dazu verleitet wird, bestimmte Benutzeroberflächen-Gesten auszuführen, indem eine speziell erstellte MHTML-Seite verwendet wird.

Google hat Dutzende unabhängige Forscher gewürdigt, darunter Mitwirkende aus dem KAIST Hacking Lab, dem Tencent Security Xuanwu Lab, dem Security and Systems Lab der National Yang Ming Chiao Tung University sowie Schwachstellen mithilfe automatisierter Fuzzing- und Sanitizer-Tools wie AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, libFuzzer und AFL identifiziert, was die Ausdehnung der proaktiven Sicherheitsinfrastruktur Windows, macOS und Linux sollten unverzüglich auf Chrome 148.0.7778.96/97 aktualisieren, um diese Sicherheitslücken zu beheben.

Die nächste stabile Version, Chrome 149, ist für den 2. Juni 2026 geplant. Die Aktualisierung kann über Einstellungen → Hilfe → Über Google Chrome durchgeführt werden, was einen automatischen Download und eine Installation auslöst. Sie uns auf