Chrome: Kritische Zero-Day-Lücke zwingt zu Notfall-Update

Google Chrome-Nutzer müssen sofort handeln: Eine schwerwiegende Zero-Day-Schwachstelle in dem Browser wird bereits aktiv ausgenutzt. Es ist bereits der vierte derartige Notfall-Patch in diesem Jahr. Mit über 3,5 Milliarden Nutzern weltweit ist die potenzielle Gefahr enorm. Die US-Cybersicherheitsbehörde CISA hat Bundesbehörden bereits zum sofortigen Update verpflichtet.

Die Sicherheitslücke mit der Kennung CVE-2026-5281 wurde zwar bereits mit einem Update am 1. April geschlossen. Doch in den letzten 72 Stunden haben sich die Ausnutzungsversuche deutlich verstärkt. Die Lücke ermöglicht es Angreifern, die Sicherheitsbarrieren des Browsers zu umgehen und im schlimmsten Fall die vollständige Kontrolle über das System zu erlangen. Google bestätigt funktionierende Angriffe "in the wild", hält sich mit Details zu den Tätern aber zurück, um keine Nachahmer anzulocken.

4,7 Millionen gehackte Konten pro Quartal in Deutschland zeigen, wie verwundbar unsere digitalen Identitäten durch solche Sicherheitslücken sind. Schützen Sie Ihre wichtigsten Accounts jetzt mit einer Methode, die herkömmliche Passwörter überflüssig macht und Hackern keine Chance lässt. Kostenlosen Report zu sicheren Passkeys jetzt herunterladen

Die Achillesferse: Die Grafik-Engine "Dawn"

Das Herz des Problems liegt in Dawn, einer Open-Source-Komponente. Sie setzt den modernen Grafikstandard WebGPU im Chromium-Projekt um. Dieser Standard soll Web-Apps Hochleistungsgrafiken ermöglichen – öffnet aber auch neue Angriffsflächen.

Konkret handelt es sich bei CVE-2026-5281 um einen Use-After-Free-Fehler. Dabei greift das Programm auf einen Speicherbereich zu, der bereits freigegeben wurde. Über eine manipulierte Webseite können Angreifer diese Speicherbeschädigung auslösen. Kompromittieren sie zunächst den Render-Prozess des Browsers, können sie mit dieser Lücke aus der isolierten "Sandbox" ausbrechen und beliebigen Code auf dem Betriebssystem ausführen.

CISA schlägt Alarm – ein besorgniserregender Trend

Die Gefahr ist so akut, dass die US-Behörde CISA die Lücke in ihren Katalog bekannter, ausgenutzter Schwachstellen aufgenommen hat. Alle US-Bundesbehörden müssen bis zum 15. April gepatcht haben. CISA empfiehlt auch Unternehmen und Privatnutzern dringend, sofort zu aktualisieren.

Die Ausnutzung dieser Zero-Day-Lücke setzt einen besorgniserregenden Trend fort: Es ist bereits der vierte schwere Browser-Exploit in diesem Jahr. Nach Lücken in der CSS-Engine im Februar folgten im März zwei Schwachstellen in der Grafikbibliothek Skia und der JavaScript-Engine V8.

Experten sehen eine klare Strategie: Angreifer konzentrieren sich zunehmend auf spezialisierte Grafik-Komponenten der Browser, statt auf die JavaScript-Engine. Das ist brisant, denn viele dieser Komponenten sind in der speicherunsicheren Sprache C++ geschrieben – anfällig genau für die Art von Fehlern, die jetzt ausgenutzt werden.

Nicht nur Chrome betroffen – und was "Browsergate" damit zu tun hat

Die Lücke sitzt tief im Chromium-Engine, der Basis vieler Browser. Daher sind auch Microsoft Edge, Brave, Opera und Vivaldi betroffen. Die meisten Anbieter rollen bereits eigene Notfall-Updates basierend auf Chromium 146.0.7680.178 aus.

Die Timing könnte kaum ungünstiger sein: Parallel zu diesem Sicherheitsalarm sorgt der sogenannte "Browsergate"-Skandal für Aufsehen. Dabei geht es um massenhafte, unerlaubte Datensammlung über Business-Netzwerke. Zwar sind die Vorfälle nicht direkt verknüpft, doch zusammen schüren sie das Misstrauen in Browser-Sicherheit und Privatsphäre.

Während Browser-Lücken Privatnutzer bedrohen, geraten auch Unternehmen immer häufiger durch neue technologische Risiken und KI-Gesetze unter Druck. Erfahren Sie in diesem Experten-Bericht, wie Sie Ihre Firma proaktiv absichern und aktuelle gesetzliche Anforderungen ohne hohes Budget erfüllen. Gratis E-Book: Cyber Security für Unternehmen sichern

Die Häufung solcher Zero-Day-Lücken ist auch ein Preis für die wachsende Komplexität moderner Browser. Sie sind heute multimediale Alleskönner – mit mehr Code und mehr potenziellen Fehlern. Google setzt zwar vermehrt auf KI-Tools zur Fehlersuche, doch wie dieser Fall zeigt, bleiben Angreifern Fenster der Gelegenheit.

So schützen Sie sich: Jetzt updaten!

Der wichtigste Schritt ist einfach: Überprüfen Sie sofort Ihre Browser-Version und installieren Sie das Update.

Für Google Chrome sind folgende gepatchte Versionen sicher:
* Windows und macOS: 146.0.7680.177 oder 146.0.7680.178
* Linux: 146.0.7680.177

Chrome updated zwar oft automatisch im Hintergrund. Angesichts der akuten Bedrohung ist eine manuelle Prüfung aber essenziell. Gehen Sie dazu in den Hilfe-Menüpunkt "Über Google Chrome". Ein verfügbares Update wird heruntergeladen, aber erst nach einem kompletten Neustart des Browsers aktiviert. Schließen Sie also alle Fenster und Tabs.

Für Unternehmen gilt: IT-Administratoren sollten die Updates über ihre Management-Tools zentral erzwingen, besonders mit Blick auf die CISA-Frist vom 15. April.

Die Zukunft: Mehr Sicherheit durch neue Sprachen und schnellere Updates

Langfristig setzt die Branche auf speichersichere Programmiersprachen wie Rust. Google plant, kritische Browser-Komponenten schrittweise darauf umzustellen. Das würde ganze Fehlerklassen – wie Use-After-Free – ausschließen. Die Umsetzung wird jedoch Jahre dauern.

Als Zwischenlösung werden die Update-Zyklen immer kürzer. Google will noch 2026 zu einem zweiwöchigen Release-Rhythmus für Chrome übergehen. So soll die Zeitspanne zwischen der Entdeckung einer Lücke und der Verbreitung des Fixes minimiert werden. Bis dahin bleiben außerplanmäßige Notfall-Patches die wichtigste Waffe gegen Zero-Day-Bedrohungen.

Die Zusammenarbeit von Sicherheitsforschern, Unternehmen und Behörden wie der CISA ist entscheidend. In der aktuellen Bedrohungslage ist der Browser oft das eingängigste Einfallstor für Cyberangriffe. Pünktliche Updates gehören daher zur digitalen Grundhygiene – für Privatnutzer und Unternehmen gleichermaßen.

boerse | 69080163 |