Google Chrome: Kritische Zero-Day-Lücke zwingt Millionen zum Update

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer aktiv ausgenutzten Sicherheitslücke in Google Chrome. Die als „hoch“ eingestufte Schwachstelle erlaubt Angreifern die Ausführung von Schadcode und betrifft alle gängigen Desktop-Betriebssysteme. Nutzer müssen ihren Browser sofort aktualisieren.

BSI schlägt Alarm: „Use-After-Free“-Fehler in CSS

Die Warnleuchten der Cybersicherheitswächter stehen auf Rot. Die Lücke mit der Kennung CVE-2026-2441 ist ein sogenannter Zero-Day-Exploit. Das bedeutet: Hacker nutzten sie aus, bevor Google einen Schutz entwickeln konnte. Laut BSI können Opfer bereits durch den Besuch einer manipulierten Webseite infiziert werden.

Auch die US-Cybersicherheitsbehörde CISA stuft die Bedrohung als kritisch ein und hat US-Behörden eine Frist zur Behebung gesetzt. Die internationale Reaktion unterstreicht die Dringlichkeit.

• Risikobewertung: Das BSI stuft das Risiko als „hoch“ ein.
• Betroffene Systeme: Windows, macOS und Linux.
• Angriffsvektor: Besuch präparierter Webseiten.

So funktioniert der Angriff im Browser

Technisch handelt es sich um einen „Use-After-Free“-Fehler in der CSS-Verarbeitung von Chrome. CSS ist die grundlegende Technologie für das Design von Webseiten. Der Fehler ermöglicht es Angreifern, bösartigen Code in den Speicher zu schleusen, den der Browser später abruft und ausführt.

Obwohl Chrome Schadcode normalerweise in einer isolierten Sandbox ausführt, ist dieser erste Schritt gefährlich genug. Er reicht oft aus, um Passwörter, Bankdaten oder Sitzungscookies zu stehlen. Ein vollständiger Systemzugriff wäre zwar ein weiterer Schritt, doch die initiale Code-Ausführung stellt bereits ein erhebliches Risiko dar.

Sicherheitsforscher entdeckten die Lücke am 11. Februar und meldeten sie an Google. Dass nur Tage später aktive Angriffe beobachtet wurden, zeigt die Professionalität der Angreifer.

Notfall-Patch: Diese Version schützt Sie

Google hat bereits einen Notfall-Patch bereitgestellt. Die Updates rollen derzeit weltweit aus. Nutzer sollten ihre Version manuell überprüfen, da automatische Updates oft erst nach einem Browser-Neustart installiert werden.

Geschützte Versionen:
* Windows/macOS: Version 145.0.7632.75/76 oder höher.
* Linux: Version 144.0.7559.75 oder höher.

So prüfen Sie das Update: Klicken Sie auf die drei Punkte oben rechts, dann auf „Hilfe“ > „Über Google Chrome“. Der Browser sucht dort nach Updates und startet bei Bedarf neu.

Vorsicht: Auch andere Browser auf Chromium-Basis wie Microsoft Edge, Brave oder Opera sind betroffen. Nutzer sollten auch dort dringend nach Updates suchen.

Um sich gegen Angriffe wie den aktuell ausgenutzten Chrome‑Zero‑Day besser zu wappnen, helfen bewährte Präventionsmaßnahmen – nicht nur Updates. Ein kostenloses E‑Book fasst aktuelle Cyber‑Security‑Trends zusammen und erklärt leicht umsetzbare Schutzschritte für Unternehmen und Privatnutzer. Jetzt kostenlosen Cyber‑Security-Guide herunterladen

Erster Zero-Day 2026: Trend zu schnelleren Angriffen

Die aktuelle Lücke ist der erste bestätigte, aktiv ausgenutzte Zero-Day in Chrome in diesem Jahr. 2025 musste Google bereits acht solcher Notfälle bewältigen. Der Vorfall zeigt einen beunruhigenden Trend: Die Zeit zwischen Entdeckung einer Lücke und ihrer Ausnutzung schrumpft.

Hinter den Angriffen steht ein lukrativer Schwarzmarkt. Zero-Day-Exploits für Software wie Chrome werden für hohe Summen gehandelt – sei es im Darknet oder an staatliche Akteure. Googles eigenes Bug-Bounty-Programm versucht, Forscher mit Prämien im fünfstelligen Bereich zu ködern, damit sie Lücken melden statt verkaufen.

Google hält technische Details zur Lücke noch zurück. Das ist Standard, um Zeit für die Verbreitung des Patches zu gewinnen, bevor weitere Hacker die Angriffsmethode kopieren können.

Was kommt jetzt?

Sicherheitsunternehmen analysieren derzeit, wer hinter den Attacken steckt. Geht es um finanziellen Erpressung mit Ransomware oder um staatliche Spionage? Für Nutzer bleibt die zentrale Lehre: Der Browser ist das wichtigste Einfallstor für Angriffe.

Die „digitale Hygiene“ wird zur Überlebensfrage. Updates müssen sofort installiert werden – eine Empfehlung wandelt sich zur Notwendigkeit. Experten erwarten, dass auch die mobilen Chrome-Versionen für Android und iOS bald gepatcht werden. Bis dahin gilt: Vorsicht bei unbekannten Links und sofortiges Handeln, wenn der Update-Button erscheint.