Google hat ein Sicherheitsupdate für Chrome veröffentlicht, das 74 Schwachstellen behebt, darunter die kritisch gefährliche CVE-2026-11645 (CVSS 8.8) in der JavaScript-Engine V8, die bereits von Angreifern ausgenutzt wird. Die Schwachstelle ermöglicht es einem entfernten Angreifer, über eine speziell präparierte HTML-Seite beliebigen Code innerhalb der Browser-Sandbox auszuführen. Alle Nutzer von Chrome und auf Chromium basierenden Browsern müssen umgehend auf Version 149.0.7827.102/.103 aktualisieren.
Technische Analyse von CVE-2026-11645
Gemäß der Beschreibung in der NVD-Datenbank handelt es sich bei der Schwachstelle um einen Fehler vom Typ out-of-bounds read and write im V8-Motor für JavaScript und WebAssembly, der in Google Chrome verwendet wird. Der Defekt betrifft alle Chrome-Versionen bis 149.0.7827.103.
Der Angriffsvektor ist netzwerkbasiert: Für eine Ausnutzung genügt es, das Opfer dazu zu bringen, eine bösartige HTML-Seite zu öffnen. Dies kann über einen Phishing-Link, bösartige Werbung oder die Kompromittierung einer legitimen Website erfolgen. Fehler des Typs out-of-bounds read/write in V8 sind besonders gefährlich, da die Engine JavaScript-Code auf jeder besuchten Seite verarbeitet und die Möglichkeit, gleichzeitig außerhalb des zugewiesenen Puffers zu lesen und zu schreiben, den Weg zur vollwertigen Ausführung beliebigen Codes eröffnet.
Es ist wichtig zu berücksichtigen, dass der Hinweis der NVD auf eine Codeausführung „innerhalb der Sandbox“ (inside a sandbox) keine vollständige Sicherheit bedeutet. Die Sandbox von Chrome stellt zwar eine erhebliche Hürde dar, doch in Kombination mit einer zusätzlichen Schwachstelle zum Ausbruch aus der Sandbox (sandbox escape) kann ein Angreifer die vollständige Kontrolle über das System erlangen. Google hat, wie im offiziellen Sicherheitsbulletin angegeben, die Existenz eines Exploits in freier Wildbahn bestätigt, verzichtet jedoch auf die Veröffentlichung von Details, bis der Großteil der Nutzer aktualisiert hat.
Die Schwachstelle wurde von einem Forscher mit dem Pseudonym „303f06e3“ entdeckt und Google zufolge am 27. April 2026 gemeldet. Für die verantwortungsvolle Offenlegung erhielt der Forscher Berichten zufolge eine Vergütung in Höhe von $55.000 – eine Summe, die die Kritikalität des Fundes und die Tatsache der aktiven Ausnutzung widerspiegelt.
Fünfter Chrome Zero-Day im Jahr 2026
CVE-2026-11645 ist die fünfte Zero-Day-Schwachstelle in Chrome, die Google seit Beginn des Jahres 2026 beseitigt hat. Zuvor wurden bereits folgende Lücken geschlossen:
Diese Dynamik – fünf ausgenutzte Zero-Day-Schwachstellen im ersten Halbjahr – zeigt das anhaltend große Interesse von Angreifern an Browser-Schwachstellen als Vektor für den Erstzugriff. Die V8-Engine bleibt ein vorrangiges Ziel: Ihre komplexe Architektur der JIT-Kompilierung schafft eine umfangreiche Angriffsoberfläche, und die allgegenwärtige Verbreitung von Chrome macht jede derartige Schwachstelle potenziell massenwirksam.
Bewertung der Auswirkungen
Das Ausmaß der Bedrohung wird durch den dominierenden Marktanteil von Chrome unter den Browsern bestimmt. Unter Risiko stehen nicht nur Chrome-Nutzer, sondern alle Anwender von Browsern auf Chromium-Basis: Microsoft Edge, Brave, Opera, Vivaldi und andere. Für diese Browser können die entsprechenden Patches mit Verzögerung erscheinen, was ein Zeitfenster der Verwundbarkeit schafft.
Am stärksten gefährdet sind Unternehmensumgebungen, in denen Browser-Updates aufgrund von Richtlinien zum Konfigurationsmanagement verzögert werden können, sowie Nutzer, die automatische Updates deaktiviert haben. Da für eine Ausnutzung bereits ein einfacher Klick auf einen Link genügt, eignet sich die Schwachstelle ideal für gezielte Phishing-Angriffe auf Mitarbeiter von Organisationen.
Empfehlungen zur Behebung
Das Update sollte unverzüglich eingespielt werden – eine Ausnutzung ist bereits bestätigt. Zielversionen:
- Windows und macOS: Chrome 149.0.7827.102 oder 149.0.7827.103
- Linux: Chrome 149.0.7827.102
Zur Prüfung und Aktualisierung: Öffnen Sie das Chrome-Menü → Hilfe → Über Google Chrome. Der Browser lädt das Update automatisch herunter, anschließend ist ein Neustart erforderlich. In Unternehmensumgebungen wird empfohlen, das Update über Konfigurationsmanagement-Systeme zwangsweise zu verteilen und den Zugriff auf externe Webressourcen für Systeme, auf denen das Update nicht zeitnah eingespielt werden kann, vorübergehend einzuschränken.
Nutzer von auf Chromium basierenden Browsern sollten die Veröffentlichung von Updates der jeweiligen Hersteller aufmerksam verfolgen und diese unmittelbar nach deren Erscheinen einspielen.
Angesichts der bestätigten aktiven Ausnutzung von CVE-2026-11645 und des trivialen Angriffsvektors über eine bösartige Webseite muss das Update auf Chrome-Version 149.0.7827.102/.103 innerhalb von Stunden und nicht erst in den kommenden Tagen erfolgen. Für Organisationen mit einem größeren Bestand an Arbeitsstationen hat dieser Patch höchste Priorität: Überprüfen Sie den Update-Stand über die Management-Konsole und stellen Sie sicher, dass kein System auf einer verwundbaren Version verbleibt.
