Google Chrome: 79 Sicherheitslücken – 14 davon kritisch

Browser-Nutzer weltweit müssen sofort handeln. Google hat Dutzende teils schwerwiegende Sicherheitslücken in Chrome bestätigt.

Innerhalb von nur 48 Stunden wurden technische Details zu 79 Sicherheitslücken veröffentlicht, von denen 14 als kritisch eingestuft sind. Die Schwachstellen betreffen Windows, macOS, Linux und Android gleichermaßen. Sicherheitsbehörden haben daher höchste Alarmstufe ausgerufen und fordern alle Nutzer auf, ihren Browser unverzüglich zu aktualisieren.

Da die aktuellen Sicherheitslücken auch Millionen von Mobilgeräten betreffen, ist ein umfassender Schutz für unterwegs wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Smartphone effektiv gegen Hacker und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Android-Smartphones jetzt kostenlos anfordern

Kritische Lücken und Rekord-Prämien

Die 14 als kritisch eingestuften Schwachstellen sind die gefährlichste Kategorie. Angreifer könnten damit vollständige Kontrolle über ein Zielsystem erlangen – oft ohne dass der Nutzer überhaupt etwas tun muss. Die externen Forscher, die diese Lücken entdeckten, erhielten insgesamt 68.000 Euro an Prämienzahlungen von Google.

Zu den schwerwiegendsten Problemen zählen ein Heap-Buffer-Overflow in der WebML-Komponente (CVE-2026-8509) sowie ein Integer-Overflow in der Skia-Grafik-Engine (CVE-2026-8510). Weitere kritische Lücken betreffen sogenannte „Use-after-free"-Speicherfehler in verschiedenen Browser-Komponenten wie der Benutzeroberfläche, dem Dateisystem und der Blink-Rendering-Engine.

Besonders tückisch: Diese Schwachstellen ermöglichen oft einen „Sandbox-Escape". Normalerweise isoliert Chrome Webseiten vom Betriebssystem, um Schadcode zu blockieren. Die aktuellen Lücken können diese Schutzmauer durchbrechen – Angreifer erhalten dann Zugriff auf lokale Dateien, können Schadsoftware installieren oder Authentifizierungsdaten stehlen.

Behörden schlagen Alarm

Die indische Computer-Notfall-Einheit CERT-In veröffentlichte am 15. Mai eine Hochrisiko-Warnung (CIVN-2026-0235). Demnach könnten Angreifer Nutzer auf präparierte Webseiten locken und dort die Lücken ausnutzen. Die Folgen reichen von der Ausführung beliebigen Codes bis hin zu Denial-of-Service-Angriffen.

Betroffen sind Chrome-Versionen unter 148.0.7778.96 auf Linux sowie Versionen unter 148.0.7778.167 beziehungsweise 148.0.7778.168 auf Windows und macOS. Auch Android-Nutzer mit den Versionen 14, 15 und 16 sind potenziell gefährdet.

Die Hongkonger Sicherheitsbehörde GovCERT.HK schloss sich der Warnung an. Zwar gibt es derzeit keine Hinweise auf aktive Angriffe, doch die Veröffentlichung der technischen Details macht Angriffe in den kommenden Tagen deutlich wahrscheinlicher.

Immer mehr Sicherheitsupdates

Der aktuelle Vorfall reiht sich in eine Serie massiver Sicherheitsupdates ein. Erst Anfang Mai hatte Google 127 Schwachstellen in Chrome 148 geschlossen – darunter drei kritische Lücken. Ein einzelner Forscher kassierte damals 43.000 Euro für die Entdeckung eines Integer-Overflows in der Blink-Komponente.

Branchenbeobachter führen den Anstieg gemeldeter Lücken auf fortschrittlichere Prüfwerkzeuge zurück. Google setzt zunehmend KI-gestützte Systeme wie das „Big Sleep"-Projekt ein, um Speicherfehler proaktiv aufzuspüren. Das Ergebnis: mehr gemeldete Sicherheitslücken, aber auch ein schnellerer und transparenterer Patch-Zyklus.

Die wachsende Komplexität moderner Browser-Komponenten – etwa WebGPU oder moderne JavaScript-Engines – vergrößert die Angriffsfläche erheblich. Besonders die V8-Engine und die Skia-Grafikbibliothek stehen im Fokus, da sie direkt mit dem Systemspeicher interagieren.

Gefahr für Unternehmen: Remote-Code-Ausführung

Für Unternehmen bleibt die Gefahr der Remote-Code-Ausführung die größte Sorge. Bei mehreren neu entdeckten Lücken – darunter ein Objektlebenszyklus-Problem in WebShare (CVE-2026-8517) und unzureichende Validierung in DataTransfer (CVE-2026-8516) – liegt der Fehler in der Verarbeitung ungeprüfter Eingaben aus dem Internet.

Besonders kleine und mittelständische Unternehmen werden zunehmend zum Ziel von Cyberattacken, die durch solche Sicherheitslücken ermöglicht werden. Ein kostenloser Experten-Report klärt darüber auf, welche neuen rechtlichen Pflichten und Bedrohungen Sie jetzt kennen müssen, um Ihre IT-Infrastruktur proaktiv zu schützen. Gratis Cyber-Security-Leitfaden für Unternehmen herunterladen

Die sogenannten „Use-after-free"-Fehler treten auf, wenn ein Programm nach der Freigabe von Speicher weiterhin darauf zugreift. Bei den aktuellen Lücken betrifft dies die HID- und Blink-Komponenten. Angreifer können diese Speicherlücken nutzen, um Daten zu überschreiben oder den Programmablauf umzuleiten.

Da Chrome auf dem Open-Source-Projekt Chromium basiert, sind auch andere Browser betroffen. Nutzer von Microsoft Edge, Brave, Opera und Vivaldi sollten zeitnah nach Updates suchen – sie teilen sich die gleiche Kern-Engine.

So schützen Sie sich jetzt

Google verteilt die Sicherheitsupdates schrittweise. Experten raten dringend, nicht auf das automatische Update zu warten, sondern manuell nachzusehen. So geht's:

1. Öffnen Sie die Chrome-Einstellungen
2. Navigieren Sie zu „Über Google Chrome"
3. Der Browser sucht dann automatisch nach der neuesten Version
4. Nach dem Download: Browser komplett neu starten

Die aktuelle Sicherheitsversion ist 148.0.7778.167 oder höher. Für Unternehmen empfiehlt sich der Einsatz zentraler Verwaltungstools, um sicherzustellen, dass alle Endgeräte gepatcht sind. Sicherheitsexperten warnen: Ungepatchte Browser gelten als Einfallstor für Angriffe in Unternehmensnetzwerken. Die Zeit zwischen Veröffentlichung einer Lücke und ihrer Ausnutzung wird immer kürzer – schnelles Handeln ist der beste Schutz.

de | wissenschaft | 69347351 |