Kritische Chrome-Schwachstellen ermöglichen Remote-Code-Execution-Angriffe – Sofort patchen!

April 2026 intern gemeldet: CVE-2026-9111 – Eine Use-After-Free-Schwachstelle WebRTC, die ausgenutzt werden könnte, Speicher zu beschädigen und durch eine bösartig konstruierte Webseite eine Remote-Code-Ausführung zu ermöglichen.

CVE-2026-9110 – Ein Inappropriate Implementation-Fehler in der Benutzeroberflächenschicht, der Angreifern erlauben könnte, Sicherheitsbeschränkungen zu umgehen oder Browser-Interface-Elemente zu spoofen.

Use-After-Fehler sind besonders gefährlich, da sie Bedrohungsakteuren ermöglichen, freigegebene Speicherbereiche zu manipulieren, was bei erfolgreicher Verkettung mit anderen Exploits oft zum vollständigen Kompromittieren des Systems führt. Hochkritische Schwachstellen wurden behoben.

Sicherheitslage und Risiko

Neben den kritischen Fehlern hat Google neun Schwachstellen mit hohem Schweregrad in mehreren Komponenten behoben: CVE-2026-9112: Typ: Use-After-Fehler; Komponente: GPU; Belohnung: 11.000 USD. CVE-2026-9113: Typ: Out-of-Bounds Read; Komponente: GPU; Belohnung: 3.000 USD. CVE-2026-9114: Typ: Use-After-Fehler; Komponente: QUIC; Belohnung: Nicht zutreffend.

CVE-2026-9115: Typ: Unzureichende Durchsetzung; Komponente: Service Worker; Belohnung: Nicht zutreffend. CVE-2026-9116: Typ: Unzureichende Durchsetzung; Komponente: ServiceWorker; Belohnung: Nicht zutreffend. CVE-2026-9117: Typ: Typenverwechslung; Komponente: GFX; Belohnung: Nicht zutreffend.

CVE-2026-9118: Typ: Use-After-Fehler; Komponente: XR; Belohnung: Nicht zutreffend. CVE-2026-9119: Typ: Heap-Buffer-Overflow; Komponente: WebRTC; Belohnung: Nicht zutreffend. CVE-2026-9120: Typ: Use-After-Free; Komponente: WebRTC; Belohnung: N/A.

Sicherheitslage und Risiko

CVE-2026-9112 und CVE-2026-9113 wurden verantwortungsvoll der Identifikation c6eed09fc8b174b0f3eebedcceb1e792 offengelegt und brachten eine kombinierte Bug-Bounty von 14.000 US-Dollar ein.

Weitere Mittelwert-Sicherheitskorrekturen Google hat zudem fünf Sicherheitslücken mittlerer Schweregrad behoben, darunter Speicherbereichsüberschreitende Lesezugriffe in der GPU (CVE-2026-9121, CVE-2026-9122 – zuerkannt David Korczynski Forscher), einen Heap-Pufferüberlauf Chromecast (CVE-2026-9123), unzureichende Eingabevalidierung (CVE-2026-9124) und einen Use-After-Fehler im DOM (CVE-2026-9126).

Gegenmaßnahmen Google weist darauf hin, dass Details zu den Sicherheitslücken bis dahin zurückgehalten werden, bis die meisten Benutzer das Update erhalten haben, um das Ausnutzungsrisiko während des Rollout-Fensters zu verringern.

Markt und Strategie

Benutzer und Administratoren sollten unverzüglich die folgenden Schritte durchführen: Gehen Sie zu chrome://settings/help und bestätigen Sie, dass die Browser-Version 148.0.7778.178 oder höher ist. Starten Sie Chrome neu, um ausstehende Updates anzuwenden. Unternehmensadministratoren sollten das Update über Policy-Management-Tools erzwingend bereitstellen.

Überwachen Sie die Chrome-Release-Notes und CISA-Hinweise auf Anzeichen einer aktiven Ausnutzung. Abi ist eine Security Editorin und Mitautorin bei