CVE-2026-11645 Chrome-Sicherheitslücke
Google hat dringende Sicherheitsupdates veröffentlicht, um eine weitere aktiv ausgenutzte Zero-Day-Schwachstelle im Chrome-Browser zu beheben. Die unter CVE-2026-11645 geführte Sicherheitslücke ist die fünfte Zero-Day-Schwachstelle in Chrome, die das Unternehmen seit Anfang 2026 geschlossen hat.
Laut Google bestätigen Beweise, dass ein Exploit, der diese Sicherheitslücke ausnutzt, bereits in realen Angriffen eingesetzt wird. Das Problem wurde dem Unternehmen anonym gemeldet, und ein Fix wurde anschließend über den Stable-Desktop-Kanal bereitgestellt.
Gepatchte Versionen werden derzeit weltweit für Windows (149.0.7827.102), macOS (149.0.7827.103) und Linux (149.0.7827.102) ausgerollt. Es kann jedoch mehrere Tage oder sogar Wochen dauern, bis alle Chrome-Nutzer das Update erhalten.
Für diejenigen, die keine Updates manuell installieren, ist Chrome so konzipiert, dass er beim nächsten Start des Browsers automatisch nach verfügbaren Sicherheitskorrekturen sucht und diese anwendet.
Inhaltsverzeichnis
Im Inneren von CVE-2026-11645: Ein gefährlicher Fehler im V8-Motor
Die schwerwiegende Sicherheitslücke beruht auf einer Schwachstelle im V8-JavaScript-Engine von Chrome, die das Lesen und Schreiben außerhalb des zulässigen Speicherbereichs ermöglicht. Angreifer können diese Schwachstelle durch speziell präparierte HTML-Seiten ausnutzen und so potenziell beliebigen Code innerhalb der Sandbox-Umgebung des Browsers ausführen.
Eine erfolgreiche Ausnutzung kann zu einer Beschädigung des Speicherbereichs führen, wodurch Angreifer auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen können. Dies kann sensible Informationen offenlegen, Browserabstürze verursachen oder weitere schädliche Aktivitäten ermöglichen.
Neben unautorisiertem Speicherzugriff könnte die Schwachstelle auch dazu genutzt werden, Sicherheitsvorkehrungen wie Address Space Layout Randomization (ASLR) zu umgehen, was in Kombination mit anderen Schwächen die Wahrscheinlichkeit der Codeausführung erhöht.
Beschränkte Offenlegung zum Schutz der Nutzer
Obwohl Google die aktive Ausnutzung der Sicherheitslücke bestätigt hat, wurden die technischen Details der Angriffe noch nicht veröffentlicht. Der Zugriff auf Fehlerinformationen und zugehörige Ressourcen könnte weiterhin eingeschränkt bleiben, bis ein Großteil der Chrome-Nutzer das Sicherheitsupdate installiert hat.
Die Einschränkungen können auch dann fortbestehen, wenn der betroffene Code in Drittanbieterbibliotheken enthalten ist, die von anderen Projekten verwendet werden und noch keine eigenen Korrekturen implementiert haben.
Eine wachsende Liste von Zero-Day-Bedrohungen im Jahr 2026
CVE-2026-11645 reiht sich in eine Reihe anderer Chrome-Zero-Day-Schwachstellen ein, die in diesem Jahr aktiv ausgenutzt wurden:
- CVE-2026-2441 – Eine Iterator-Invalidierungs-Schwachstelle in CSSFontFeatureValuesMap, die im Februar behoben wurde.
- CVE-2026-3909 – Eine im März ausgenutzte Sicherheitslücke in der Skia 2D-Grafikbibliothek, die das Schreiben außerhalb des zulässigen Speicherbereichs ermöglicht.
- CVE-2026-3910 – Eine Schwachstelle in der Implementierung, die die V8 JavaScript- und WebAssembly-Engine betrifft und im März ausgenutzt wurde.
- CVE-2026-5281 – Eine Use-After-Free-Schwachstelle in Dawn, der plattformübergreifenden WebGPU-Implementierung von Chromium, wurde im April behoben.
Chromes andauernder Kampf gegen Zero-Day-Exploits
Das neueste Notfall-Update unterstreicht die anhaltende Bedrohung durch Zero-Day-Schwachstellen in modernen Webbrowsern. Im Laufe des Jahres 2025 schloss Google acht weitere Zero-Day-Schwachstellen in Chrome, die bereits ausgenutzt wurden. Einige dieser Schwachstellen wurden von Googles Threat Analysis Group (TAG) identifiziert, einem spezialisierten Team, das für die Aufdeckung komplexer Cyber-Spionageoperationen und Spyware-Kampagnen bekannt ist.
Die fortwährende Entdeckung aktiv ausgenutzter Sicherheitslücken unterstreicht die Bedeutung zeitnaher Browser-Updates und einer schnellen Behebung von Sicherheitslücken, um die Nutzer vor sich ständig weiterentwickelnden Cyberbedrohungen zu schützen.
