Chrome: Google schließt nach Notfall-Patches weitere 26 kritische Lücken

Google hat in dieser Woche eine beispiellose Serie von Sicherheitsupdates für seinen Chrome-Browser veröffentlicht. Nach zwei Notfall-Patches für bereits aktiv ausgenutzte Zero-Day-Lücken folgte am 18. März ein umfangreiches Update, das 26 Schwachstellen beseitigt – darunter drei kritische Fehler, die Remote Code Execution (RCE) ermöglichen. Für Milliarden Nutzer weltweit bedeutet dies: sofortiges Update ist Pflicht.

Angesichts der rasanten Zunahme von Zero-Day-Lücken und komplexen Angriffsszenarien stehen viele Unternehmen vor der Herausforderung, ihre IT-Infrastruktur effektiv zu schützen. Dieser kostenlose Experten-Report enthüllt effektive Strategien, wie sich mittelständische Betriebe gegen Cyberkriminelle wappnen können, ohne dass die Budgets explodieren. Effektive Sicherheits-Strategien im Experten-Report entdecken

Drei kritische RCE-Lücken in WebGL und Base-Bibliothek

Das stabile Update auf die Versionen 146.0.7680.153/154 für Windows und macOS sowie 146.0.7680.153 für Linux neutralisiert gefährliche Speicherprobleme. Besonders brisant sind drei als „kritisch“ eingestufte Sicherheitslücken: CVE-2026-4439 und CVE-2026-4440 betreffen den WebGL-Grafikstandard und ermöglichen Angreifern, über speziell präparierte Webseiten Schadcode auszuführen. Die dritte Lücke, CVE-2026-4441, ist ein „Use-after-free“-Fehler in der Base-Bibliothek des Browsers.

Sicherheitsexperten warnen vor dem geringen Aufwand für Angreifer. „Ein Besuch auf einer manipulierten Webseite genügt, um das System zu kompromittieren“, erklärt ein Analyst. Die Lücken erlauben es, Code im Renderer-Prozess auszuführen – ein erster Schritt zur vollständigen Übernahme des Rechners.

Schatten der Zero-Days: Bereits aktiv ausgenutzte Lücken

Die aktuellen Patches folgen auf einen kritischen Notfall-Update-Zyklus. Bereits am 13. März hatte Google zwei Zero-Day-Schwachstellen geschlossen, die bereits in der Wildnis ausgenutzt wurden: CVE-2026-3909 in der Skia-Grafikbibliothek und CVE-2026-3910 in der V8-JavaScript-Engine.

Die Bedrohung war so akut, dass die US-Cybersicherheitsbehörde CISA die Lücken umgehend in ihren Katalog bekannter, ausgenutzter Schwachstellen aufnahm. Für US-Behörden bestand Patch-Zwang bis Ende März. Insgesamt hat Google damit in diesem Jahr bereits drei aktiv ausgenutzte Zero-Days in Chrome geschlossen – ein alarmierender Trend.

Breite Angriffsfläche: Von WebRTC bis zum Netzwerk-Stack

Die Patches adressieren nicht nur die Spitzenlücken. Insgesamt wurden Schwachstellen in nahezu allen Kernkomponenten behoben: WebRTC für Video-Kommunikation, die Rendering-Engine Blink, die Grafik-Übersetzungsschicht ANGLE, den PDF-Renderer PDFium und den Netzwerk-Stack.

Viele der behobenen Probleme sind klassische Speichersicherheitsfehler: Heap- und Stack-Pufferüberläufe sowie Typverwechslungen. Besonders heikel: Fehler in WebRTC könnten über manipulierte Video- oder Audio-Streams ausgenutzt werden, während Lücken in V8 Angriffen über bösartigen JavaScript-Code Tür und Tor öffnen.

Aus Sicherheitsgründen hält Google Details zu den Lücken und Proof-of-Concept-Codes zurück. Diese Informationen werden erst freigegeben, wenn die Mehrheit der Nutzer aktualisiert hat oder betroffene Drittanbieter-Bibliotheken gepatcht sind.

Update-Lücke: Die unterschätzte Gefahr in Unternehmen

Die Update-Flut offenbart ein grundsätzliches Problem. Zwar lädt Chrome Updates automatisch herunter, doch sie werden erst nach einem Neustart des Browsers aktiv. In Unternehmensumgebungen bleiben Browser oft wochenlang geöffnet – die Patches liegen brach, während die Sitzungen angreifbar bleiben.

IT-Administratoren sind alarmiert. „Das automatische Update nützt nichts, wenn niemand den Browser neu startet“, warnt ein Sicherheitsverantwortlicher eines DAX-Konzerns. Immer mehr Unternehmen setzen daher auf Endpoint-Detection-Systeme, die veraltete Browser-Versionen aufspüren, und erzwingen regelmäßige Neustarts.

Während technische Patches essenziell sind, verschärfen neue Gesetze und KI-Regulierungen die Haftungsrisiken für die Unternehmensführung zusätzlich. Erfahren Sie in diesem kostenlosen Leitfaden, was Geschäftsführer über Cyber Security 2024 wissen müssen, um ihr Unternehmen proaktiv und rechtssicher zu schützen. Kostenloses E-Book zu Cyber-Security-Trends sichern

Was kommt auf Nutzer und Unternehmen zu?

Die Cybersicherheits-Community rechnet damit, dass Angreifer bereits an der Reverse-Engineerung der Patches arbeiten. Funktionierende Exploits für die WebGL- und Base-Lücken könnten in den kommenden Wochen auftauchen. Unternehmen, die mit dem Patchen zögern, setzen sich einem erhöhten Risiko automatisierter Angriffe aus.

Google reagiert auf das erhöhte Tempo der Bedrohungen mit einem verkürzten Update-Zyklus. Ab Chrome-Version 153 want der Konzern alle zwei Wochen stabile Updates ausliefern. Das nächste große Update, Chrome 147, ist für Anfang April 2026 geplant.

Bis dahin bleibt nur eins: Browser sofort aktualisieren und neu starten. Für IT-Abteilungen weltweit wird die Überwachung von Browser-Prozessen im Netzwerk zur kritischen Verteidigungsstrategie. Denn in einer Welt, in der der Browser zum zentralen Arbeitswerkzeug geworden ist, sind seine Schwachstellen auch die Schwachstellen des gesamten Unternehmens.

boerse | 68946913 |