Google hat einen Notfall-Patch für Chrome veröffentlicht, der 74 Sicherheitslücken schließt. Eine davon wird bereits aktiv ausgenutzt. Betroffen sind Windows, macOS und Linux, und auch andere Chromium-Browser müssen nachziehen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Die Chrome Zero-Day CVE-2026-11645 sitzt in der V8-JavaScript-Engine und gilt als hochriskant. Google bestätigt, dass ein Exploit dafür im Umlauf ist, hält Details aber zurück, bis genug Nutzer das Update haben. Über eine präparierte Webseite kann ein Angreifer Schadcode im Browser ausführen.
Das Wichtigste in Kürze
- CVE-2026-11645 ist eine aktiv ausgenutzte Zero-Day in der Chrome-Engine V8, Schadcode-Ausführung über eine präparierte Webseite
- Google verteilt seit dem 8. Juni Chrome 149.0.7827.102/.103 und schließt damit insgesamt 74 Lücken
- Edge, Brave, Opera und Vivaldi bauen auf Chromium und brauchen denselben Fix
Wie gefährlich ist die Lücke?
Der Fehler ist ein Out-of-Bounds-Zugriff in V8, der JavaScript- und WebAssembly-Engine von Chrome. Code-Ausführung im Browser wird damit möglich, sobald das Opfer eine manipulierte Seite öffnet. V8 verarbeitet standardmäßig nicht vertrauenswürdige Web-Inhalte, deshalb wiegen Speicherfehler dort besonders schwer. Google bestätigt einen kursierenden Exploit, nennt aber bewusst keine Details, solange die Verbreitung des Updates läuft.
Wie schließen Sie die Lücke?
Der Patch steckt in Chrome 149.0.7827.102 für Windows und Linux sowie .103 für macOS. Ein Neustart reicht oft: Chrome lädt das Update im Hintergrund, übernimmt es aber erst beim nächsten Start, also lohnt der Weg über Hilfe und Über Google Chrome mit anschließendem Relaunch. Den Hinweis zur ausgenutzten Lücke und zu den 74 Korrekturen teilte Google im Chrome-Releases-Blog mit. Andere Chromium-Browser ziehen meist mit Verzögerung nach, hier hilft nur, die jeweilige Update-Funktion aktiv anzustoßen.
Ein Browser ist längst die wichtigste Anwendung im Unternehmen, mit Zugriff auf Mail, SaaS und interne Werkzeuge. Genau deshalb gehört ein ausgenutzter Browser-Bug in dieselbe Dringlichkeitsstufe wie eine Server-Lücke.
— Michael Dobler, Herausgeber Dr. Web
Was sollten IT-Verantwortliche jetzt prüfen?
Für verwaltete Geräteflotten zählt vor allem, dass die Version wirklich ankommt. Versionsstand prüfen heißt, im Bestand die Builds gegen die 149er-Versionen abzugleichen und besonders exponierte Nutzergruppen zuerst zu aktualisieren. Wie schnell aus einer bekannten Lücke ein Notfall wird, zeigen jüngste Fälle wie der BitLocker-Zero-Day YellowKey oder die Linux-Kernel-Lücke Fragnesia. Die Mindestmaßnahmen für ein sauberes Patch-Management fasst unser Leitfaden zu den Cybersecurity-Grundlagen zusammen.
Der Schritt für heute ist klein: Chrome auf allen Geräten auf die 149er-Version bringen und die Browser im Unternehmen aus der reinen Software-Liste heraus in den festen Patch-Zyklus holen. Ein Browser mit Zugriff auf alle Web-Dienste verdient dieselbe Aufmerksamkeit wie ein Server.
Mehr Newshunger?
