Google Chrome: Kritischer 0-Day-Sicherheitsfehler wurde bereits ausgenutzt – Sofort aktualisieren

März); Komponente: Skia (2D-Grafikbibliothek); Schwachstellentyp: Out-of-Bounds-Write; Gepatchte Version: 146.0.7680.75/.76. CVE-2026-3910: Veröffentlicht/Gepatcht: März (ca. 12. März); Komponente: V8 (JavaScript/WebAssembly-Engine); Schwachstellentyp: Unangemessene Implementierung; Gepatchte Version: 146.0.7680.75/.76.

CVE-2026-5281: Veröffentlicht/Behoben: Ende März (CISA: 1. April); Komponente: Dawn (WebGPU-Implementierung); Schwachstellentyp: Use-after-free; Beheuerte Version: 146.0.7680.177/.178. CVE-2026-11645: Veröffentlicht/Behoben: 9.

Juni (aktuellste Version); Komponente: V8 (JavaScript-Engine); Schwachstellentyp: Zugriff außerhalb der Grenzen beim Lesen und Schreiben; Beheuerte Version: 149.0.7827.102/.103.

Sicherheitslage und Risiko

Ausnutzung einer Google Chrome 0-Day-Schwachstelle Der kritischste Fehler in diesem Update ist CVE-2026-11645, eine Schwachstelle mit hoher Schweregrad, die einen Zugriff außerhalb der erlaubten Speicherbereiche in Chromes V8-JavaScript-Engine ermöglicht.

Zugriffsschwachstellen außerhalb der Grenzen in V8 sind besonders gefährlich, da die Engine unzuverlässiges JavaScript besuchten Website verarbeitet.

Eine erfolgreiche Ausnutzung kann Speicher beschädigen, sensible Daten auslecken oder, wenn sie mit anderen Fehlern kombiniert wird, zur Ausführung führen, indem ein Opfer lediglich auf eine bösartige Seite gelockt wird. Am 27. April 2026 wurde die Schwachstelle dem Alias „303f06e3" entdeckt.

Sicherheitslage und Risiko

Google vergütete den Bericht mit einer Bug-Bounty von 55.000 US-Dollar, was das hohe potenzielle Ausmaß der Schwachstelle widerspiegelt.

Google bestätigte ausdrücklich: „Google ist sich bewusst, dass ein Exploit für CVE-2026-11645 in der Wildbahn existiert." Speicherzugriffsfehler außerhalb der Grenzen (out-of-bounds memory access) im V8 sind besonders gefährlich, da Angreifer sie ausnutzen können, um beliebigen Code im Renderer-Prozess des Browsers auszuführen.

Dies kann bei Verkettung mit weiteren Schwachstellen zu einem Sandbox-Entkommen und einer vollständigen Kompromittierung des Systems führen. Der Update ist weit mehr als ein einzelner Bug-Fix. Insgesamt enthält die Veröffentlichung 74 Sicherheitskorrekturen, darunter 17 kritische Schwachstellen.

Einordnung fuer Autofahrer

Die überwiegende Mehrheit handelt sich um Use-After-Free (UAF)-Fehler – eine Klasse, die weiterhin die größte Herausforderung für die Browser-Sicherheit darstellt.

Ozone, Aura und Views (Kernrendering- und UI-Frameworks) Bluetooth und Gamepad (Hardware-Schnittstellen) TabStrip, Autofill und Web Apps (Browser-Funktionskomponenten) Drucken, Kompositing und Proxy libyuv (Integer-Overflow, CVE-2026-11640) Use-After-Free-Schwachstellen treten auf, wenn ein Programm weiterhin auf einen Speicherzeiger zugreift, nachdem der verwiesene Speicher bereits freigegeben wurde.

Die Ausnutzung dieser Lücken kann es Angreifern ermöglichen, den Speicher zu beschädigen, beliebigen Code auszuführen oder den Browser vollständig zum Absturz zu bringen.

Sicherheitslage und Risiko

Hochkritische Schwachstellen in Kern-Subsystemen Die Kategorie der hochkritischen Schwachstellen umfasst zusätzliche 57 Sicherheitslücken, die fast jedes Haupt-Subsystem, darunter V8 (CVE-2026-11649/11650), WebRTC (CVE-2026-11667), PDF (CVE-2026-11670), ServiceWorker (CVE-2026-11656/11694), Erweiterungen (CVE-2026-11652/11653), Netzwerk (CVE-2026-11651/11677) und GPU (CVE-2026-11672).

Der Umfang der betroffenen Komponenten deutet auf eine umfassende interne Sicherheitsprüfung durch Googles eigene Forscher zwischen Ende April und Ende Mai 2026 hin.

Besonders hervorzuheben sind CVE-2026-11662, der einen Type Confusion in Bindings einführt, und CVE-2026-11688, der ein Object Lifecycle Issue in SVG aufzeigt; beide Fehlertypen werden häufig in Browser-Exploit-Ketten ausgenutzt.

Technik und Auswirkungen

Der Stable-Kanal wurde für Windows und Mac auf Version 149.0.7827.102/.103 sowie für Linux auf Version 149.0.7827.102 aktualisiert.

Google weist darauf hin, dass die Auslieferung der Updates in den kommenden Tagen und Wochen bei den Nutzern ankommen wird, weshalb ein manuelles Aktualisieren dringend empfohlen wird, anstatt auf den automatischen Push zu warten. So aktualisieren Sie Chrome sofort: Nutzer sollten nicht auf die automatische Auslieferung warten.

Manuelles Aktualisieren: Öffnen Sie Chrome und klicken Sie auf das Menü mit den drei Punkten (⋮) in der oberen rechten Ecke. Gehen Sie zu Hilfe → Über Google Chrome. Chrome überprüft automatisch nach Updates – klicken Sie nach dem Herunterladen des Updates auf Neustart.

Unternehmensadministratoren sollten die sofortige Verteilung der Version 149.0.7827.102/103 auf verwalteten Endpunkten priorisieren, da die Ausnutzung 2026-11645 in der Wildbahn bestätigt wurde.