Google hat am 8. Juni 2026 ein Notfall-Update für Chrome veröffentlicht, das eine kritische Zero-Day-Schwachstelle schließt, die bereits aktiv in freier Wildbahn ausgenutzt wird. Die Schwachstelle, verfolgt als CVE-2026-11645, betrifft die V8-JavaScript-Engine des Browsers und ermöglicht Angreifern die Ausführung von beliebigem Code innerhalb der Sandbox. Mit einem CVSS-Score von 8.8 ist es der fünfte Chrome Zero-Day in diesem Jahr, und er trifft einen Browser, der auf über 3,62 Milliarden Geräten weltweit installiert ist.
Was ist CVE-2026-11645? Technische Details der Schwachstelle
CVE-2026-11645 ist eine Out-of-Bounds-Read/Write-Schwachstelle in Chromes V8-JavaScript-Engine. Die Schwachstelle entsteht, wenn Software auf Speicherbereiche zugreift, die außerhalb der Grenzen eines zugewiesenen Speicherpuffers liegen. In technischen Begriffen bedeutet dies: Ein Angreifer kann durch eine speziell präparierte HTML-Seite den Fehler auslösen und dadurch beliebigen Code innerhalb der Chrome-Sandbox ausführen.
Die Schwachstelle wurde von einem anonymen Sicherheitsforscher Ende April 2026 entdeckt und Google gemeldet. Laut Googles eigenem Sicherheitshinweis war ein Exploit für CVE-2026-11645 bereits aktiv in freier Wildbahn beobachtet worden, bevor der Patch veröffentlicht wurde. Das bedeutet: Angreifer hatten einen Vorsprung von Wochen, um verwundbare Systeme anzugreifen.
Der Update-Rollout erfolgte für alle wichtigen Desktop-Plattformen:
- Windows und macOS: Chrome 149.0.7827.102/.103
- Linux: Chrome 149.0.7827.102
Das Update enthielt insgesamt 74 behobene Schwachstellen, wobei CVE-2026-11645 als einzige als aktiv ausgenutzt eingestuft wurde. Laut dem National Vulnerability Database (NVD)-Eintrag lautet die offizielle Beschreibung: “Out-of-bounds read and write in V8 in Google Chrome prior to 149.0.7827.103 allowed a remote attacker to execute arbitrary code inside a sandbox via a crafted HTML page.”
Chronologie: Alle fünf Chrome Zero-Days 2026 auf einen Blick
CVE-2026-11645 ist nicht allein. Seit Januar 2026 hat Google insgesamt fünf Chrome-Schwachstellen gepatcht, die vor Veröffentlichung des Fixes aktiv ausgenutzt wurden. Zum Vergleich: Im gesamten Jahr 2025 waren es acht solcher Zero-Days. Der aktuelle Trend deutet darauf hin, dass 2026 diesen Rekord unter Umständen brechen könnte.
| CVE | Komponente | Typ | Patch-Datum | Chrome-Version |
|---|---|---|---|---|
| CVE-2026-2441 | CSS-Komponente | Use-After-Free | 13. Feb. 2026 | 145.0.7632.75/76 |
| CVE-2026-3909 | Skia (Grafikbibliothek) | Out-of-Bounds Write | März 2026 | 146.0.7680.75/76 |
| CVE-2026-3910 | V8 JavaScript/WebAssembly | Unsachgemäße Implementierung | März 2026 | 146.0.7680.75/76 |
| CVE-2026-5281 | Dawn/WebGPU | Use-After-Free | April 2026 | 146.0.7680.177 |
| CVE-2026-11645 | V8 JavaScript/WebAssembly | Out-of-Bounds Read/Write | 8. Juni 2026 | 149.0.7827.102/.103 |
Besonders auffällig: Gleich zwei der fünf Zero-Days betreffen die V8-Engine. Diese JavaScript-Laufzeitumgebung ist das Herzstück des Browsers und für die Ausführung nahezu aller Web-Inhalte verantwortlich. Sicherheitsforscher von Malwarebytes beschrieben die Situation nach dem März-Update treffend: “Both bugs can be exploited remotely and require only that a user visit a malicious website. Because the attack complexity is low, the vulnerabilities pose a higher real-world risk.”
V8-Engine: Warum Chromes JavaScript-Kern so häufig im Visier steht
Die V8-Engine ist seit Jahren ein bevorzugtes Angriffsziel für staatliche Hacker und Cyberkriminelle gleichermaßen. Der Grund liegt in ihrer Komplexität und ihrer zentralen Rolle: V8 verarbeitet JavaScript und WebAssembly, zwei der wichtigsten Technologien des modernen Internets. Jede Webseite, jede Web-App, jeder Online-Dienst läuft durch diese Engine.
Die Angriffsvektoren für V8-Schwachstellen folgen oft demselben Muster: Ein Angreifer erstellt eine speziell präparierte HTML-Seite oder ein JavaScript, das den Speicherfehler in der Engine auslöst. Der Nutzer muss lediglich die entsprechende Website besuchen. Kein Download, kein Klick auf einen Anhang, keine weitere Interaktion erforderlich. Diese “Ein-Klick-Kompromittierung” macht V8-Exploits besonders gefährlich für Massenangriffe.
CVE-2026-3910 aus dem März war ebenfalls eine V8-Schwachstelle, beschrieben als “unsachgemäße Implementierung” in der JavaScript- und WebAssembly-Engine. Sie erlaubte, ähnlich wie CVE-2026-11645, die Ausführung beliebigen Codes über eine speziell präparierte HTML-Seite. Die Tatsache, dass diese Art von Schwachstellen regelmäßig wieder auftaucht, deutet auf strukturelle Schwierigkeiten bei der Absicherung hochkomplexer Just-In-Time-Compiler hin, die für V8s Performance-Vorsprung verantwortlich sind.
3,62 Milliarden Nutzer: Chrome als größte Angriffsfläche im Browser-Markt
Die schiere Reichweite von Google Chrome macht jeden Zero-Day zu einem potenziellen Massenangriff. Laut StatCounter hält Chrome im Mai 2026 einen globalen Desktop-Marktanteil von 70,25 Prozent. Insgesamt nutzen weltweit rund 3,62 Milliarden Menschen Google Chrome als Hauptbrowser, bei einer Gesamtzahl von etwa 6,04 Milliarden Internetnutzern.
Für Österreich und Deutschland gelten ähnliche Verhältnisse: In Deutschland hielt Chrome im September 2025 einen Marktanteil von 51,4 Prozent, gefolgt von Firefox mit rund 22 Prozent und Edge mit etwa 18 Prozent. Das Chromium-basierte Blink-Engine dominiert mit 78,4 Prozent der globalen Web-Sessions das gesamte Browser-Ökosystem. Das bedeutet: Selbst Nutzer von Microsoft Edge, Opera oder Samsung Internet sind von der gleichen Rendering-Engine abhängig und könnten durch Schwachstellen in Chromium-Komponenten indirekt gefährdet sein.
Diese Konzentration auf einen Browser stellt ein systemisches Risiko dar. Wenn ein Zero-Day aktiv ausgenutzt wird, bevor ein Patch verfügbar ist, besteht die Möglichkeit, Millionen von Systemen in kurzer Zeit zu kompromittieren, was besonders bei Angriffen auf kritische Infrastruktur oder Unternehmensnetze dramatische Folgen haben kann.
CVSS 8.8: Einordnung der Schwere von CVE-2026-11645
Ein CVSS-Score von 8.8 positioniert CVE-2026-11645 in der Kategorie “Hoch” (High), knapp unterhalb der Schwelle von 9.0, ab der Schwachstellen als “Kritisch” eingestuft werden. Zum Vergleich: Das Oracle WebLogic Zero-Day CVE-2026-21962 aus diesem Jahr erhielt einen CVSS-Score von 10.0 (maximal). Dennoch ist 8.8 ein ernst zu nehmender Schweregrad, insbesondere in Kombination mit der bestätigten aktiven Ausnutzung in freier Wildbahn.
Die hohe Bewertung ergibt sich aus mehreren Faktoren des CVSS-Frameworks:
- Angriffsvektor (Network): Die Schwachstelle ist über das Netzwerk remote ausnutzbar
- Angriffskomplexität (Low): Kein spezialisiertes Wissen oder aufwändige Vorbereitung erforderlich
- Nutzerinteraktion (Required): Der Nutzer muss lediglich eine präparierte Website besuchen
- Scope (Changed): Die Ausnutzung kann die Chrome-Sandbox-Grenzen beeinflussen
- Vertraulichkeit/Integrität/Verfügbarkeit (High/High/High): Alle drei Sicherheitsziele können beeinträchtigt werden
Für Unternehmensumgebungen ist die Kombination aus niedrigem Angriffskomplexitätslevel und aktivem Wildnis-Exploit besonders besorgniserregend. Ein einzelner Phishing-Link, der zu einer präparierten Webseite führt, kann in einer ungepatchten Chrome-Installation zur vollständigen Kompromittierung des Endpunkts führen.
Angriffsmuster: Wie Bedrohungsakteure Zero-Day-Browser-Exploits einsetzen
Browser-Zero-Days werden in der Regel von zwei Kategorien von Bedrohungsakteuren genutzt: staatlich gesponserte APT-Gruppen (Advanced Persistent Threats) und kommerzielle Spyware-Anbieter. Beide Kategorien haben in den vergangenen Jahren wiederholt Chrome-Zero-Days für gezielte Angriffe eingesetzt.
Das typische Angriffsszenario für einen Browser-Zero-Day sieht wie folgt aus: Der Angreifer hostet die präparierte Exploit-Seite auf einem Server, schickt dem Ziel einen Link (oft über Phishing, Social Engineering oder kompromittierte Websites) und wartet darauf, dass das Opfer die Seite besucht. Der Exploit läuft vollständig im Browser, ohne Interaktion mit dem Betriebssystem-Kernel. Danach kann der Angreifer aus der Sandbox ausbrechen und weiteren Schadcode nachladen.
Laut dem Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums wurden im Jahr 2025 insgesamt 90 bestätigte Zero-Day-Exploits in freier Wildbahn beobachtet, ein Anstieg von 15 Prozent gegenüber dem Vorjahr. Davon zielten 48 Prozent auf Enterprise-Infrastruktur, ein historischer Höchstwert. Besonders bedenklich: Edge-Geräte wie Browser und VPN-Appliances machten über die Hälfte der Enterprise-Zero-Days aus.
“Angreifer nutzen Browser-Zero-Days bevorzugt in der frühen Phase eines Angriffs, um initialen Zugang zu Systemen zu erlangen. Die Kombination aus hoher Nutzerbasis und niedriger Angriffskomplexität macht Chrome-Schwachstellen zu besonders wertvollen Exploit-Rohstoffen auf dem Schwarzmarkt.”
Sicherheitsteam, Broadcom Symantec, Juni 2026
Vergleich: Chrome, Firefox und Edge bei Zero-Days 2025-2026
Ein fairer Vergleich der Browser-Sicherheitslage muss die unterschiedlichen Marktanteile berücksichtigen. Chrome hat eine deutlich größere Angriffsfläche als Firefox oder Edge, was es zum bevorzugten Ziel für Zero-Day-Forscher und Cyberkriminelle macht.
| Browser | Desktop-Marktanteil (Mai 2026) | Zero-Days 2025 | Zero-Days 2026 (Stand Juni) | Engine |
|---|---|---|---|---|
| Google Chrome | 70,25% | 8 | 5 | V8 / Blink |
| Microsoft Edge | 5,14% | k.A. | k.A. | V8 / Blink (Chromium-basiert) |
| Safari | 15,72% | mehrere | k.A. | JavaScriptCore / WebKit |
| Firefox | 2,19% | mehrere | k.A. | SpiderMonkey / Gecko |
| Opera | 1,78% | k.A. | k.A. | V8 / Blink (Chromium-basiert) |
Ein wichtiger Faktor, der in dieser Tabelle nicht sichtbar ist: Chromium-basierte Browser wie Edge und Opera teilen denselben Blink-Rendering-Code und oft auch die gleiche V8-Engine wie Chrome. Das bedeutet, dass viele Chrome-Schwachstellen auch Edge und Opera betreffen, bis die jeweiligen Hersteller ihre eigenen Builds aktualisieren. Microsoft Edge erhält Chromium-Updates in der Regel innerhalb weniger Tage nach Google, was das Zeitfenster für Angreifer begrenzt, aber nicht eliminiert.
“Die Konsolidierung des Browser-Marktes auf Chromium hat eine gefährliche Monokultur geschaffen. Wenn V8 fällt, fallen 78 Prozent aller Web-Sessions. Diese Konzentration ist ein systemisches Sicherheitsrisiko, das über einzelne CVEs hinausgeht.”
Analysten des Browser-Sicherheitsreports, Digital Applied, 2026
Unternehmensrisiko: Enterprise-Umgebungen besonders gefährdet
Für Unternehmen ist die Patch-Geschwindigkeit entscheidend, und hier zeigt sich die größte Schwachstelle in der Praxis: Nicht die Schwachstelle selbst, sondern die Zeit bis zum Einspielen des Patches. In Unternehmensumgebungen läuft Chrome oft in einer durch das IT-Team verwalteten, festgelegten Version. Automatische Updates werden häufig deaktiviert, um Kompatibilitätstests zu ermöglichen. Das schafft ein Zeitfenster von Tagen bis Wochen, in dem Angreifer ungepatchte Systeme aktiv angreifen können.
Der Rollout des Chrome-Updates vom 8. Juni 2026 erfolgte stufenweise: Zuerst erhielten Desktop-Nutzer die neue Version über den Stable Channel. Unternehmensadministratoren, die Chrome über Google Chrome Enterprise oder Microsoft Endpoint Manager verwalten, mussten das Update manuell deployen oder ihre automatischen Update-Richtlinien prüfen. Jede Stunde Verzögerung bei bekannten, aktiv ausgenutzten Schwachstellen wie CVE-2026-11645 ist ein inakzeptables Risiko.
Besonders kritisch ist die Situation in Branchen wie dem Gesundheitswesen, der öffentlichen Verwaltung und der Finanzbranche, wo Change-Management-Prozesse für Software-Updates oft wochen- oder monatelange Freigabeprozesse erfordern. Ein Zero-Day mit CVSS 8.8 sollte in diesen Umgebungen als Notfall-Patch behandelt werden, der die normalen Change-Management-Prozesse umgeht.
“Enterprise-Sicherheitsteams müssen Browser-Zero-Days mit aktivem Wildnis-Exploit genauso behandeln wie Ransomware-Vorfälle: als unmittelbaren Handlungsbedarf. Jeder ungepatchte Chrome-Browser im Unternehmensnetz ist ein potenzielles Einfallstor für Angreifer.”
Sicherheitsforscher, Malwarebytes Threat Intelligence Team, 2026
Historischer Kontext: Chrome Zero-Days seit 2023
Ein Blick auf die vergangenen Jahre zeigt, dass Chrome-Zero-Days kein neues Phänomen sind, aber ihre Frequenz und Schwere zugenommen haben. Im Jahr 2025 musste Google insgesamt acht aktiv ausgenutzte Chrome-Schwachstellen notfallmäßig patchen, mehr als in jedem vergleichbaren Zeitraum davor. Die ersten sechs Monate 2026 haben mit fünf Zero-Days bereits mehr als die Hälfte dieses Jahresrekords erreicht.
Besonders bedeutsam in diesem Kontext: Der erste Chrome Zero-Day des Jahres 2026, CVE-2026-2441, traf die CSS-Komponente des Browsers, also einen Bereich, der normalerweise nicht im Fokus von Hochsicherheitsforschern steht. Das deutet darauf hin, dass Angreifer und Forscher systematisch alle Teile des Browser-Codes nach Schwachstellen durchsuchen, nicht nur die prominenten Komponenten wie V8.
CVE-2026-3909, der zweite Zero-Day des Jahres, betraf Skia, Googles 2D-Grafikbibliothek für Web-Inhalte und UI-Elemente. CVE-2026-5281 folgte kurz darauf in Dawn, der WebGPU-Implementierung des Chromium-Projekts. Diese Streuung über verschiedene Codebasen zeigt, dass moderne Browser mit ihrer enormen Komplexität, bestehend aus Millionen Zeilen Code in dutzenden Subsystemen, eine entsprechend große Angriffsfläche bieten.
Österreich und DACH: Regionale Bedrohungslage und Behörden-Empfehlungen
Für Österreich und den deutschsprachigen Raum (DACH) ist die Bedrohung durch Browser-Zero-Days besonders relevant, da die Digitalisierung in Verwaltung und Wirtschaft in den letzten Jahren stark vorangeschritten ist. Österreichische Behörden, darunter das Bundesamt für Informationssicherheit (A-SIT) und das CERT.at, warnen regelmäßig vor kritischen Software-Schwachstellen und empfehlen schnellstmögliche Patches.
Der Cyber Resilience Act der EU, der ab 2026 für digitale Produkte gilt, setzt neue Standards für die Patch-Frequenz von Software-Herstellern. Unternehmen, die Chrome oder andere Browser in verwalteten Umgebungen einsetzen, müssen ihre Patch-Prozesse an die neuen regulatorischen Anforderungen anpassen. Verstöße gegen den CRA können mit Bußgeldern von bis zu 15 Millionen Euro geahndet werden.
Laut dem Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums berücksichtigen 64 Prozent der Unternehmen Geopolitik als wichtigsten Faktor bei der Risikominimierung im Cyber-Bereich. Österreich als EU-Mitglied und neutrales Land mit wichtigen internationalen Organisationen wie der OSZE und UN-Agenturen ist ein potenziell attraktives Ziel für staatlich gesponserte Akteure, die Browser-Zero-Days für gezielte Spionageangriffe nutzen.
“Browser-Schwachstellen sind das bevorzugte Einfallstor für Cyber-Spionage gegen staatliche Institutionen und kritische Infrastruktur. Ein ungepatchter Chrome-Browser auf dem Rechner eines Mitarbeiters einer österreichischen Behörde kann der Ausgangspunkt für einen monatelangen APT-Angriff sein.”
Experte für Cybersicherheitspolitik, WEF Global Cybersecurity Outlook 2026
Sofortmaßnahmen: So schützen sich Nutzer und Administratoren
Die wichtigste Maßnahme nach Bekanntwerden von CVE-2026-11645 ist das sofortige Update auf Chrome 149.0.7827.102 oder neuer. Das Update kann manuell angestoßen werden, indem Nutzer in Chrome die Adresse chrome://settings/help aufrufen, wo die aktuelle Version angezeigt und ein Update-Download gestartet wird.
Für Unternehmensadministratoren gelten erweiterte Maßnahmen:
- Patch-Status inventarisieren: Alle verwalteten Chrome-Instanzen auf ihre aktuelle Versionsnummer prüfen (unter 149.0.7827.102 sind gefährdet)
- Zwangs-Update deployen: Über Google Chrome Enterprise, Microsoft Endpoint Manager, SCCM oder vergleichbare Tools einen sofortigen Update-Rollout initiieren
- Browser-Neustarts erzwingen: Chrome-Updates werden erst nach einem Neustart des Browsers aktiv. Richtlinien für automatische Neustarts oder Nutzer-Benachrichtigungen einrichten
- URL-Filterung verstärken: Bekannte Exploit-Delivery-Domains über DNS-Filter oder Proxy-Blocklisten sperren
- Incident Response vorbereiten: Monitoring auf ungewöhnliche Netzwerkverbindungen von Chrome-Prozessen einrichten
- Browser-Isolation prüfen: Browser-Isolation-Lösungen für besonders schützenswerte Bereiche (Finanz, HR, IT-Administration) evaluieren
Darüber hinaus empfehlen Sicherheitsexperten die Aktivierung von Chrome Enhanced Safe Browsing, das bekannte schädliche Websites und Downloads in Echtzeit überprüft. Nutzer mit erhöhtem Risikoprofil, beispielsweise Journalisten, Dissidenten oder Mitarbeiter in sensiblen Bereichen, sollten zusätzlich den Einsatz von Browser-Isolation oder einer dedizierten virtuellen Maschine für riskantere Web-Aktivitäten in Betracht ziehen.
Marktauswirkungen: Was Chrome Zero-Days für Google bedeuten
Fünf Zero-Days in sechs Monaten stellen eine Belastung für Googles Sicherheits-Reputation dar, auch wenn das Unternehmen in der Branche für seine vergleichsweise schnelle Patch-Reaktion bekannt ist. Googles Project Zero-Team und das Chrome Security Team gelten als führend in der Browser-Sicherheitsforschung, aber die schiere Komplexität des Browsers macht die vollständige Eliminierung von Zero-Days praktisch unmöglich.
Chromes globaler Marktanteil ist von 67,0 Prozent (2025) auf 65,1 Prozent (2026) gefallen, der größte Jahresrückgang seit 2014 laut digitalapplied.com. Ob dieser Rückgang direkt mit Sicherheitsbedenken zusammenhängt oder andere Gründe hat, ist schwer zu trennen. Konkurrenten wie Firefox positionieren sich explizit mit Sicherheits- und Datenschutzargumenten, während Edge von Microsofts Enterprise-Integration profitiert.
Für Google steht mehr als Marktanteil auf dem Spiel: Chrome ist integraler Bestandteil des gesamten Google-Ökosystems, von Google Workspace über Google Meet bis zu Google Pay. Eine fundamentale Erschütterung des Chrome-Vertrauens würde das gesamte Geschäftsmodell des Unternehmens treffen.
Prognosen: Was kommt nach CVE-2026-11645?
Basierend auf den aktuellen Trends zeichnen sich für die zweite Jahreshälfte 2026 und darüber hinaus mehrere Entwicklungen ab:
Prognose 1: Weitere V8-Schwachstellen in 2026. Die wiederholten Zero-Days in der V8-Engine deuten auf strukturelle Schwierigkeiten bei der Absicherung von JIT-Compilern hin. Es ist wahrscheinlich, dass weitere V8-Schwachstellen entdeckt und ausgenutzt werden, bevor das Jahr endet. Google arbeitet an einer Architekturrevision der Engine, aber solche Projekte dauern Jahre.
Prognose 2: KI-gestützte Exploit-Entwicklung beschleunigt den Zero-Day-Zyklus. Laut dem WEF Cybersecurity Outlook 2026 setzen Angreifer zunehmend KI-Werkzeuge für die automatisierte Suche nach Schwachstellen ein. Das könnte die Frequenz von Zero-Day-Entdeckungen in komplexem Code wie Browsern weiter erhöhen und den Zeitraum zwischen Entdeckung und Ausnutzung verkürzen.
Prognose 3: Browser-Isolation wird zum Enterprise-Standard. Der anhaltende Strom von Browser-Zero-Days wird Unternehmen dazu bewegen, browserbasierte Isolation als Standardsicherheitsmaßnahme einzuführen. Lösungen, die den Browser vollständig von sensiblen Unternehmensdaten isolieren, werden 2026 und 2027 deutlich stärker nachgefragt.
Prognose 4: Regulatorischer Druck auf Google wächst. Der EU Cyber Resilience Act und ähnliche Regelungen in Österreich und Deutschland werden Google dazu zwingen, schnellere Patch-Zyklen und transparentere Vulnerability-Disclosure-Prozesse zu implementieren. Behörden könnten künftig Mindestreaktionszeiten für kritische Browser-Schwachstellen vorschreiben.
Prognose 5: Bug-Bounty-Rekorde für Chrome-Exploits. Mit steigender Nachfrage nach Browser-Zero-Days auf dem Schwarzmarkt und höheren Bug-Bounty-Zahlungen von Google selbst (aktuell bis zu 250.000 Dollar für kritische Chrome-Schwachstellen) werden 2026 wahrscheinlich neue Rekorde bei den gezahlten Summen für Chrome-Exploits gesetzt.
Verwandte Berichte
Weitere Sicherheitsberichte auf shattered.io:
- Brave vs Firefox: 100 vs. 70 Mio. Nutzer [2026] – Browser-Sicherheitsvergleich
- ClickFix-Kampagne: 250 WordPress-Sites gekapert, 12 Länder betroffen [2026] – Browserbasierte Angriffe
- Cyber Resilience Act: 15 Mio. € Strafe ab 2026 – EU-Regulierung für Software-Sicherheit
- DragonForce: Backdoor.Turn versteckt C2 in Microsoft Teams-Relays [2026] – Aktuelle Angriffstechniken
- Akira Ransomware: 244 Mio. $, DACH im Visier [2026] – Bedrohungslandschaft für die DACH-Region
FAQ: Chrome Zero-Day CVE-2026-11645
Was genau ist CVE-2026-11645?
CVE-2026-11645 ist eine Out-of-Bounds-Read/Write-Schwachstelle in der V8-JavaScript-Engine von Google Chrome. Sie ermöglicht Angreifern, durch eine speziell präparierte HTML-Seite beliebigen Code innerhalb der Chrome-Sandbox auszuführen. Der CVSS-Score beträgt 8.8 (Hoch).
Wie kann ich prüfen, ob mein Chrome bereits gepatcht ist?
Öffnen Sie in Chrome die Adresse chrome://settings/help. Dort wird die aktuelle Versionsnummer angezeigt. Sie sind geschützt, wenn Ihre Chrome-Version mindestens 149.0.7827.102 (Linux) oder 149.0.7827.103 (Windows/macOS) ist. Falls eine ältere Version angezeigt wird, starten Sie den Update-Prozess direkt auf dieser Seite und starten Sie anschließend Chrome neu.
Bin ich auch mit Microsoft Edge gefährdet?
Microsoft Edge basiert auf Chromium und teilt weite Teile des Codes mit Chrome, einschließlich der V8-Engine. Edge-Updates für Chromium-Schwachstellen folgen in der Regel wenige Tage nach Google. Prüfen Sie unter edge://settings/help, ob Ihre Edge-Version aktuell ist. Opera und andere Chromium-basierte Browser können ebenfalls betroffen sein.
Wie viele Chrome Zero-Days gab es 2025 und 2026?
Im Jahr 2025 hat Google insgesamt 8 aktiv ausgenutzte Chrome Zero-Days gepatcht. In den ersten sechs Monaten 2026 waren es bereits 5 Zero-Days (CVE-2026-2441, CVE-2026-3909, CVE-2026-3910, CVE-2026-5281 und CVE-2026-11645). Sollte sich der aktuelle Trend fortsetzen, könnte 2026 das Jahr mit den meisten Chrome Zero-Days seit Bestehen des Browsers werden.
Was passiert, wenn ein Angreifer CVE-2026-11645 erfolgreich ausnutzt?
Bei erfolgreicher Ausnutzung kann der Angreifer zunächst beliebigen Code innerhalb der Chrome-Sandbox ausführen. Daraus kann er Browser-Zugangsdaten (gespeicherte Passwörter, Cookies, Session-Tokens) stehlen, die Sandbox verlassen und weitere Schadsoftware auf dem Betriebssystem installieren, sowie das kompromittierte System als Ausgangspunkt für weitere Angriffe im Netzwerk nutzen.
Sollten Unternehmen Chrome vorübergehend sperren?
Eine vollständige Sperrung von Chrome ist in den meisten Unternehmensumgebungen nicht praktikabel, da Chrome für zahlreiche Business-Anwendungen benötigt wird. Stattdessen empfehlen Sicherheitsexperten das sofortige Deployen des Patches und gegebenenfalls vorübergehende Maßnahmen wie das Sperren unbekannter Websites über Web-Proxys oder die Verstärkung der Browser-Monitoring-Maßnahmen, bis der Patch flächendeckend eingespielt ist.
Wie meldet man eine Chrome-Schwachstelle an Google?
Sicherheitsforscher können Chrome-Schwachstellen über Googles Chrome Vulnerability Reward Program melden. Google zahlt für kritische Schwachstellen Belohnungen von bis zu 250.000 Dollar. Meldungen können über den Chromium Issue Tracker unter bugs.chromium.org eingereicht werden. Google betreibt außerdem Project Zero, ein Team das proaktiv Schwachstellen in weit verbreiteter Software sucht und verantwortungsvoll offenlegt.
