Google schließt 151 Sicherheitslücken in Chrome, darunter 22 kritische Schwachstellen.

Diese gestaffelte Offenlegung verringert das Risiko, dass Angreifer die Schwachstellen gegen unpatchte Systeme ausnutzen.

Google dankt sowohl internen Teams als auch externen Sicherheitsexperten dafür, dass sie die Probleme während des Entwicklungszyklus identifiziert haben, und vermerkt, dass viele Fehler bereits vor ihrem Eintritt in den Stable-Zweig entdeckt wurden.

Das Unternehmen betont erneut den Einsatz, Fuzzern und der Integrität des Steuerflusses zur Erkennung im großen Maßstab. 151 Sicherheitslücken Chrome gepatcht. 151 Sicherheitslücken sind 22 als kritisch eingestuft, und mehrere haben bereits beträchtliche Bug-Bounties ausgelöst.

Sicherheitslage und Risiko

Zu den bemerkenswerten gehören ein Zugriff jenseits der Grenzen beim Schreiben im GPU-Prozess (CVE-2026-9872), ein Use-After-Free Netzwerk (CVE-2026-9873), ein Use-After-Free Dawn (CVE-2026-9874) sowie ein Zugriff jenseits der Grenzen beim Lesen WebGL (CVE-2026-9875), mit Belohnungen 43.000 USD pro Meldung.

Diese Mängel könnten Sandkasten-Entweichungen, die Ausführung öglichen, wenn ein Angreifer ein Opfer zu einer bösartigen Seite locken kann. Die Mehrheit der kritischen Patches stammt jedoch aus den eigenen Teams Grafik- und Renderingschicht, einschließlich ANGLE, Skia, WebGL, Dawn, XR, Bluetooth, der Benutzeroberfläche und der Kerninfrastruktur des Browsers.

Die Probleme reichen hin Integer-Overflows und unzureichender Validierung ürdigen Eingaben; all dies sind klassische Bausteine für zuverlässige Exploits in modernen Browsern.

Technischer Hintergrund

Neben den kritischen Fehlern hat Google eine große Anzahl DOM, Accessibility, Site Isolation, WebCodecs, PDF/PDFium, WebRTC, Passwörter, WebAppInstalls, Media, USB und weiteren Bereichen behoben. Dazu zählen zusätzliche Use-After-Free-Bedingungen, Out-of-Bounds-Lese- und Schreibzugriffe, Race Conditions sowie die Nutzung, wurden.

Einige dieser Schwachstellen wurden jedoch auch, Microsoft, OpenAI und anderen gemeldet. CVE-2026-9872: Komponente: GPU; Fehlertyp: Out-of-Bounds-Write; Melder: cinzinga; Belohnung: 43.000 USD. CVE-2026-9873: Komponente: Network; Fehlertyp: Use-After-Free; Melder: cinzinga; Belohnung: 43.000 USD.

CVE-2026-9874: Komponente: Dawn; Fehlertyp: Use-After-Free; Melder: Anonymous; Belohnung: 11.000 USD. CVE-2026-9875: Komponente: WebGL; Fehlertyp: Aus-Grenzen-Lesen; Melder: Anonym; Belohnung: 5.000 USD. CVE-2026-9876: Komponente: WebGL; Fehlertyp: Nutzung nach Freigabe; Melder: happy2me; Belohnung: noch nicht festgelegt.

Sicherheitslage und Risiko

CVE-2026-9877: Komponente: ANGLE; Fehlertyp: Nutzung nach Freigabe; Melder: Google; Belohnung: nicht zutreffend. CVE-2026-9878: Komponente: ANGLE; Fehlertyp: Nutzung nach Freigabe; Melder: Google; Belohnung: nicht zutreffend. CVE-2026-9879: Komponente: ANGLE; Fehlertyp: Schreiben außerhalb der Grenzen; Melder: Google; Belohnung: nicht zutreffend.

Mittelschwere Schwachstellen umfassen weitere Integer-Überläufe und unzureichende Eingabevalidierung Komponenten wie ANGLE, Skia, USB, V8 und Headless, wobei kleinere, aber dennoch signifikante Prämien ausgezahlt werden.

Google weist darauf hin, dass viele dieser Fehler mithilfe, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer und AFL entdeckt wurden, was die Bedeutung automatisierter Tests zur Verringerung der Angriffsfläche des Browsers unterstreicht.

Sicherheitslage und Risiko

Wie üblich bleiben einige Details Sicherheitslücken vertraulich, wenn diese auch weit verbreitete Drittanbieter-Bibliotheken betreffen, die ihre eigenen Patches noch nicht veröffentlicht haben.

Enterprise-Verteidiger und Endbenutzer werden dringend aufgefordert, Chrome so schnell wie möglich nach Verfügbarkeit für ihre Plattform auf den neuesten stabilen Build 148.0.7778.x zu aktualisieren oder, falls ein früherer Zugriff auf Patches erforderlich ist, auf einen schnelleren Release-Kanal umzusteigen.

Google ermutigt alle, die neue Probleme entdecken, diese über den öffentlichen Bug-Tracker zu melden und das Chrome-Community-Hilfsforum für Unterstützung bei Update- und Bereitstellungsfragen zu nutzen. Abi ist eine Sicherheitsredakteurin und Mitautorin bei