Google hat erneut einen Notfall-Patch für den Chrome-Browser veröffentlicht und damit die fünfte aktiv ausgenutzte Zero-Day-Schwachstelle in diesem Jahr geschlossen. Die Sicherheitslücke mit der Kennung CVE-2026-11645 betrifft Chromes V8-JavaScript-Engine und wird bereits aktiv von Angreifern ausgenutzt – ein Umstand, der dringenden Handlungsbedarf für alle Nutzer des Browsers schafft.
Technischer Hintergrund: Out-of-Bounds-Fehler im V8-Engine
Bei der Schwachstelle handelt es sich um einen sogenannten Out-of-Bounds Memory Access-Fehler – also einen Fehler beim Lese- und Schreibzugriff auf Speicherbereiche außerhalb der vorgesehenen Grenzen. Solche Fehler im V8-JavaScript-Engine sind besonders kritisch, da V8 für die Ausführung von JavaScript auf nahezu jeder aufgerufenen Webseite zuständig ist. Ein Angreifer könnte über eine speziell präparierte HTML-Seite beliebigen Code auf dem Zielsystem ausführen, sensible Dateien auslesen oder das System weitergehend kompromittieren. Google stuft die Schwachstelle als hochgefährlich ein.
Betroffene Versionen und verfügbare Updates
Google hat die gepatchten Versionen über den Stable Desktop Channel ausgerollt. Konkret erhalten Windows-Nutzer die Version 149.0.7827.102, macOS-Nutzer die Version 149.0.7827.103 und Linux-Nutzer ebenfalls die Version 149.0.7827.102. Alle Versionen unterhalb dieser Nummern sind potenziell verwundbar. Google weist darauf hin, dass der Rollout je nach Region und System einige Tage bis Wochen in Anspruch nehmen kann – ein manueller Update-Check ist daher empfehlenswert. Dieser lässt sich über das Chrome-Menü unter Hilfe → Über Google Chrome anstoßen.
55.000 Dollar Bounty für anonymen Forscher
Die Lücke wurde von einem Sicherheitsforscher unter dem Pseudonym „303f06e3" am 27. April an Google gemeldet. Für die Entdeckung und verantwortungsvolle Offenlegung erhielt der Forscher eine Bug-Bounty-Zahlung von 55.000 US-Dollar – eine Summe, die Googles hohe Einschätzung des Gefährdungspotenzials unterstreicht. Zwischen der Meldung und dem öffentlichen Patch lagen etwa sechs Wochen, was darauf hindeutet, dass die Entwicklung und das Testen des Fixes entsprechende Zeit in Anspruch nahm.
Einordnung: Chrome als dauerhaftes Angriffsziel
Die Häufung von Zero-Day-Patches ist besorgniserregend: Mit CVE-2026-11645 schließt Google bereits die fünfte aktiv ausgenutzte Schwachstelle allein im Jahr 2026. Das zeigt, dass Chrome trotz umfangreicher Sicherheitsmechanismen wie Sandboxing und regelmäßiger Audits ein attraktives Ziel für staatliche Akteure und kriminelle Gruppen bleibt. Die enorme Marktdominanz des Browsers – mit einem weltweiten Marktanteil von über 60 Prozent – macht ihn zur lohnendsten Angriffsfläche im Browser-Segment. Zum Vergleich: Mozilla Firefox und Apple Safari verzeichneten im gleichen Zeitraum deutlich weniger aktiv ausgenutzte Zero-Days, was jedoch auch ihrer geringeren Verbreitung geschuldet sein dürfte.
Für Nutzer und IT-Administratoren gilt: Sofortige Aktualisierung auf die neueste Chrome-Version ist unbedingt empfohlen. Unternehmen sollten zudem prüfen, ob ihre zentral verwalteten Browser-Installationen bereits den Patch erhalten haben, und gegebenenfalls den Update-Prozess manuell beschleunigen.
Quellen: BleepingComputer · The Register · TechRadar