Google hat ein Notfall-Update für Chrome veröffentlicht, nachdem das Unternehmen bestätigt hat, dass Angreifer eine neue Schwachstelle bereits in aktiven Angriffen ausnutzen. Der Fehler mit der Kennung CVE-2026-11645 betrifft die JavaScript-Engine V8 von Chrome und ist die fünfte aktiv ausgenutzte Chrome-Schwachstelle, die Google im Jahr 2026 behoben hat.
Das Unternehmen erklärte, dass bereits ein funktionierender Exploit im Umlauf sei, veröffentlichte jedoch keine technischen Details zu den Angriffen. Google hält Informationen zu Zero-Day-Schwachstellen häufig zurück, bis die meisten Nutzer die Sicherheitsupdates installiert haben.
Google veröffentlicht Notfall-Patch für Chrome
Google hat die Schwachstelle im Stable-Desktop-Kanal von Chrome für Windows, macOS und Linux behoben. Die aktualisierten Versionen werden weltweit ausgerollt, allerdings erhalten nicht alle Nutzer das Update sofort.
Chrome installiert Updates normalerweise automatisch, Nutzer können jedoch auch manuell nach Aktualisierungen suchen. Dazu müssen sie den Update-Bereich des Browsers öffnen und Chrome nach der Installation neu starten.
Sicherheitsteams sollten außerdem sicherstellen, dass die Updates auf verwalteten Geräten installiert wurden, da Angreifer bereits wissen, wie sich die Schwachstelle ausnutzen lässt.
Schwachstelle betrifft die V8-Engine
CVE-2026-11645 ist eine schwerwiegende Out-of-Bounds-Read/Write-Schwachstelle in V8, der JavaScript-Engine von Chrome.
Angreifer können den Fehler über speziell präparierte HTML-Seiten ausnutzen. Eine erfolgreiche Ausnutzung ermöglicht die Ausführung beliebigen Codes innerhalb der Sandbox des Browsers.
Diese Sandbox begrenzt zwar die Möglichkeiten eines Angreifers auf dem restlichen System. Bedrohungsakteure kombinieren Browser-Schwachstellen jedoch häufig mit weiteren Sicherheitslücken, um die Sandbox zu umgehen oder umfassenderen Zugriff zu erlangen.
Fünfte Chrome-Zero-Day-Schwachstelle in diesem Jahr
Der aktuelle Chrome-Zero-Day-Patch setzt ein herausforderndes Jahr für die Browsersicherheit fort. Google hat seit Beginn des Jahres 2026 bereits fünf Chrome-Schwachstellen behoben, die aktiv in Angriffen ausgenutzt wurden.
Frühere Sicherheitslücken betrafen Komponenten wie CSS, Skia, V8 und Dawn. Angreifer konzentrieren sich häufig auf diese Bereiche, da sie komplexe Webinhalte verarbeiten und auf Millionen von Systemen weltweit eingesetzt werden.
Google hat nicht bekannt gegeben, wer CVE-2026-11645 ausgenutzt hat oder welche Nutzer von den Angriffen betroffen waren. Diese Zurückhaltung ist bei frühen Zero-Day-Veröffentlichungen üblich, solange die Verteilung der Sicherheitsupdates noch läuft.
Nutzer sollten sofort aktualisieren
Nutzer sollten die neueste Chrome-Version so schnell wie möglich installieren. Wer Chrome über längere Zeit geöffnet lässt, sollte den Browser neu starten, um die Installation des Updates abzuschließen.
Unternehmen sollten außerdem Chromium-basierte Browser überwachen und die Sicherheitsupdates der jeweiligen Anbieter installieren, sobald sie verfügbar sind. Viele Browser basieren auf Chromium-Komponenten, weshalb ähnliche Patches oft kurz nach den Chrome-Updates erscheinen.
Wer Aktualisierungen verzögert, setzt sich Angriffen aus, die bereits aktiv durchgeführt werden.
Fazit
Der aktuelle Chrome-Zero-Day-Patch behebt eine schwerwiegende Schwachstelle in der V8-Engine, die Angreifer bereits vor der Veröffentlichung eines Fixes ausnutzten. Da die Sicherheitslücke die Ausführung von Code innerhalb der Browser-Sandbox ermöglicht, sollten Nutzer das Update als dringend betrachten.
Mit bereits fünf behobenen Chrome-Zero-Day-Schwachstellen im Jahr 2026 bleiben Browser-Updates eine der einfachsten und zugleich wichtigsten Maßnahmen zum Schutz vor aktiven webbasierten Angriffen.
0 Kommentare zu „Chrome-Zero-Day-Patch behebt aktiv ausgenutzte Schwachstelle“