Thought Leadership
Ein neues Update für den Browser Google Chrome behebt 151 Schwachstellen, darunter 22 kritische Sicherheitslücken mit Gefahr auf Remotecodeausführung.
Google hat ein außerordentlich umfangreiches Sicherheitsupdate für seinen Webbrowser Chrome in der Version 148 veröffentlicht. Mit dieser Aktualisierung behebt der Technologiekonzern insgesamt 151 dokumentierte Schwachstellen. Unter den geschlossenen Sicherheitslücken befinden sich 22 Mängel, die in die höchste Risikostufe als kritisch eingestuft wurden. Zudem adressiert die Aktualisierung 123 Schwachstellen mit hoher Priorität sowie sechs Defekte mittlerer Schwere.
Die weitreichende Bereinigung betrifft alle gängigen Betriebssysteme und wird sukzessive für Windows, macOS und Linux ausgeliefert. Konkret wird das Update für Windows-Systeme als Version 148.0.7778.216 oder 148.0.7778.217 bereitgestellt. Für macOS stehen die Versionen 148.0.7778.215 und 148.0.7778.216 zur Verfügung, während Linux-Anwender die Version 148.0.7778.215 erhalten. Da viele der behobenen Fehler eine direkte Bedrohung für die Integrität der lokalen Systeme darstellen, wird IT-Verantwortlichen und Endanwendern eine sofortige Aktualisierung der Software nahegelegt.
Use-after-free-Fehler dominieren die Liste der Patches
Der Großteil der mit dem aktuellen Update geschlossenen kritischen Mängel betrifft das Feld der Speichersicherheit. Hierbei dominieren sogenannte Use-after-free-Fehler die Liste der Patches. Diese Schwachstellen entstehen, wenn ein Programm versucht, auf einen dynamisch zugewiesenen Speicherbereich zuzugreifen, nachdem dieser bereits freigegeben wurde. Gelingt es Angreifern, diesen Speicherbereich gezielt mit schadhaftem Code zu überschreiben, bevor das System den Zugriff ausführt, können sie unbefugte Aktionen einleiten. Ein solches Sicherheitsdefizit birgt gravierende Gefahren für die Systemsicherheit.
„Das Browser-Update behebt Sicherheitsmängel von kritischer Schwere, die potenziell zu einer Remotecodeausführung führen könnten“, heißt es vonseiten Google. Neben der Ausführung von beliebigem Programmcode aus der Ferne erlauben diese Fehler den Angreifern unter Umständen auch, die isolierte Sicherheitsumgebung des Browsers, die sogenannte Sandbox, vollständig zu durchbrechen, um das gesamte Betriebssystem des Endgeräts zu kompromittieren. Neben Use-after-free-Lücken wurden auch Fehler durch unzureichende Validierung von nicht vertrauenswürdigen Eingaben sowie Fehler bei der Einhaltung von Speichergrenzen bereinigt.
Hohe Prämien für externe Entdeckungen und finanzielle Aspekte
Ein kleinerer, aber technologisch bedeutender Teil der Schwachstellen wurde von externen Sicherheitsforschern an Google gemeldet. Für die Identifikation von zehn dieser Sicherheitsrisiken zahlte der Internetkonzern im Rahmen seines Bug-Bounty-Programms bislang offengelegte Belohnungen in Höhe von insgesamt über 130.000 US-Dollar. Die tatsächliche Gesamtsumme für dieses Update dürfte jedoch erheblich höher ausfallen, da Google für mehrere schwerwiegende Fehler die genauen Auszahlungsbeträge noch nicht publiziert hat. Zu den am höchsten dotierten Einzelfunden gehören die Schwachstellen mit den Kennungen CVE-2026-9872 und CVE-2026-9873.
Der erste Fehler beschreibt eine Out-of-bounds-Write-Schwachstelle innerhalb der Grafikprozessoreinheit (GPU), während der zweite Fehler eine Use-after-free-Schwachstelle im Netzwerksystem des Browsers betrifft. Beide Entdeckungen wurden von einem Forscher mit dem Pseudonym cinzinga eingereicht und brachten dem Entdecker jeweils eine Prämie von 43.000 US-Dollar ein. Drei weitere kritische Defekte wurden ebenfalls von externer Seite gemeldet: CVE-2026-9874 betrifft einen Use-after-free-Fehler in der WebGPU-Implementierung namens Dawn, während CVE-2026-9875 und CVE-2026-9876 Fehler durch Out-of-bounds-Read beziehungsweise Use-after-free innerhalb der Grafikschnittstelle WebGL beschreiben.
KI-gestützte Fehlersuche führt zu massivem Anstieg der Funde
Die überwältigende Mehrheit der in diesem Update korrigierten Fehler wurde jedoch nicht von externen Experten, sondern von Google selbst über interne Verifikationsprozesse aufgespürt. Dieser Umstand deckt sich mit den Beobachtungen bei vorangegangenen Aktualisierungen im Frühjahr 2026. Seit Ende März hat sich die Anzahl der pro Update behobenen Schwachstellen drastisch erhöht. Allein innerhalb der gesamten Entwicklungsphase von Chrome 148 wurden weit über 350 einzelne Programmierfehler korrigiert.
Die Tatsache, dass ein Großteil dieser Schwachstellen mit dem Vermerk versehen ist, dass sie von Google selbst entdeckt wurden, deutet nach Einschätzung von Branchenanalysten auf einen intensiven Einsatz von Werkzeugen der künstlichen Intelligenz hin. Durch automatisierte Sicherheitsaudits und KI-gestützte Fuzzing-Systeme ist der Konzern in der Lage, den eigenen Quellcode in einer Geschwindigkeit und Tiefe nach potenziellen Logikfehlern zu durchsuchen, die mit rein menschlichen Code-Prüfungen nicht zu realisieren wäre. Diese Effizienzsteigerung bei der automatisierten Fehlersuche veranlasste Google bereits im Vormonat dazu, die offiziellen Bug-Bounty-Prämien für externe Forscher flächendeckend abzusenken, da der Eigenanteil an automatisierten Funden massiv gestiegen ist.
Relevanz für die IT-Governance und das IT-Risikomanagement
Die Veröffentlichung eines Updates mit über 150 behobenen Schwachstellen unterstreicht die veränderten Rahmenbedingungen für das IT-Sicherheitsmanagement und die übergeordnete IT-Governance in modernen Unternehmen im Jahr 2026. Da der Webbrowser das primäre Werkzeug für den Zugriff auf cloudbasierte Anwendungen und interne Datennetze darstellt, bildet er gleichzeitig eine der größten Angriffsflächen für die Unternehmensinfrastruktur. Eine zeitnahe und strukturierte Verteilung solcher Sicherheitsaktualisierungen ist für das IT-Risikomanagement von fundamentaler Bedeutung, um das Risiko von drive-by-Infektionen oder lokalen Rechteausweitungen auf den Arbeitsstationen der Mitarbeiter zu minimieren.
Im Rahmen der Governance müssen Unternehmen klare Richtlinien etablieren, die ein automatisiertes Patch-Management für alle installierten Browser-Instanzen vorschreiben. Da Angreifer kritische Speichersicherheitsfehler in Grafikkomponenten wie WebGL oder der GPU gezielt ausnutzen können, um die Sandbox zu umgehen, dürfen Updates nicht verzögert werden. Die IT-Abteilungen müssen zudem sicherstellen, dass kompromittierte Browser-Prozesse durch eine strikte Netzwerksegmentierung und den Einsatz von Endpunkt-Erkennungs- und Reaktionssystemen daran gehindert werden, auf sensible Ressourcen im Kernnetzwerk zuzugreifen. Nur durch eine lückenlose Überwachung der Software-Versionen und eine proaktive Härtung der Clients lässt sich die Compliance-Konformität und operationelle Ausfallsicherheit der gesamten Organisation dauerhaft gewährleisten.
