Thought Leadership
Google veröffentlicht Chrome 149 und schließt eine Rekordzahl von 429 Sicherheitslücken, darunter kritische Fehler in der ANGLE-Grafik-Engine.
Google hat die Version 149 des Webbrowsers Chrome für den stabilen Veröffentlichungskanal freigegeben. Das Update behebt insgesamt 429 Sicherheitslücken, was einen historischen Rekord für eine einzelne Chrome-Aktualisierung darstellt. Die Gesamtzahl der Sicherheitskorrekturen in diesem einzigen Update übersteigt bereits die Gesamtzahl aller im Jahr 2025 veröffentlichten Chrome-Patches um das Mehrfache.
Experten führen diesen massiven Anstieg an entdeckten Schwachstellen vor allem auf den intensiven Einsatz von künstlicher Intelligenz bei der Code-Analyse zurück. Diese Entwicklung veranlasste Google bereits im April dazu, die Prämien für das Auffinden von Fehlern zu senken. Über 100 der behobenen Defekte wurden als kritisch oder hochgradig riskant eingestuft. Der Großteil dieser Fehler betrifft sogenannte Use-after-free-Schwachstellen sowie eine unzureichende Validierung von nicht vertrauenswürdigen Eingabedaten.
Kritische Schwachstellen in der Grafik-Engine ANGLE
Die gefährlichste der behobenen Sicherheitslücken wird unter der Kennung CVE-2026-10881 geführt und weist einen CVSS-Risikowert von 9,6 auf. Es handelt sich um einen Fehler beim Lesen und Schreiben außerhalb der zugewiesenen Puffergrenzen innerhalb der ANGLE-Grafik-Engine. Angreifer können diese Schwachstelle aus der Ferne ausnutzen, indem sie manipulierte HTML-Seiten präparieren. Dadurch ist es möglich, die Sandbox-Sicherheitsumgebung von Chrome zu umgehen und Schadcode direkt auf dem zugrundeliegenden Betriebssystem des Nutzers auszuführen.
Google zahlte dem externen Sicherheitsforscher, der diesen Fehler gemeldet hat, eine Prämie von 97.000 US-Dollar. Zwei weitere kritische Fehler wurden ebenfalls von externen Forschern gemeldet: CVE-2026-10882, eine Use-after-free-Schwachstelle im Netzwerkbereich, die mit 43.000 US-Dollar prämiert wurde, sowie CVE-2026-10883, ein Out-of-bounds-Schreibfehler in ANGLE, für den 5.000 US-Dollar ausgezahlt wurden.
Veröffentlichung der Chrome-Versionen
Die verbleibenden 19 kritischen Schwachstellen wurden von Googles internen Sicherheitsteams entdeckt. Von den rund 90 Fehlern mit hoher Priorität wurden lediglich zehn von externen Forschern eingereicht. Bei den mehr als 300 Fehlern mit mittlerem und geringem Risiko stammten etwa 40 Meldungen von externen Quellen. Insgesamt zahlte Google für die bekannten Meldungen rund 208.000 US-Dollar an Bug-Bounty-Prämien aus. Der tatsächliche Gesamtbetrag dürfte jedoch deutlich höher liegen, da die Belohnungen für mehr als ein Dutzend Berichte noch nicht öffentlich bekannt gegeben wurden.
Neben Use-after-free-Fehlern und Eingabevalidierungen behoben die Entwickler auch zahlreiche fehlerhafte Implementierungen und unzureichende Richtliniendurchsetzungen. Das Update wird aktuell für alle Nutzer ausgerollt. Für Linux steht die Version 149.0.7827.53 bereit, während für Windows und macOS die Versionen 149.0.7827.53 und 149.0.7827.54 verteilt werden.
