Chrome-Zero-Day: CISA warnt vor fünfter Lücke 2026
10.06.2026 - 16:47:33 | boerse-global.de
Besonders brisant: eine Chrome-Zero-Day-Lücke.
Die Cybersecurity and Infrastructure Security Agency (CISA) erweiterte am 9. und 10. Juni ihren Katalog bekannter ausgenutzter Schwachstellen um drei neue Sicherheitslücken. Darunter befindet sich eine hochriskante Zero-Day-Lücke in Googles Chromium-V8-Engine sowie kritische Schwachstellen in Netzwerkhardware von Cisco und Arista.
Für Bundesbehörden gilt eine Frist bis zum 23. Juni, um die Lücken zu schließen – so schreibt es die verbindliche operative Direktive BOD 22-01 vor.
Anzeige: Der fünfte Chrome-Zero-Day des Jahres wird bereits aktiv ausgenutzt – und auch Cisco- und Arista-Lücken bedrohen Ihr Netzwerk. Bevor Ihre Konkurrenz patcht und Sie verwundbar bleiben, sichern Sie sich den kostenlosen Report mit Checkliste, Patch-Plan und Scan-Anleitung. Jetzt Sicherheits-Report anfordern
Fünfter Chrome-Zero-Day des Jahres
Die schwerwiegendste Neuentdeckung trägt die Bezeichnung CVE-2026-11645. Es handelt sich um eine Out-of-Bounds-Speicherzugriffsschwachstelle in der Chromium-V8-JavaScript-Engine. Es ist bereits der fünfte Chrome-Zero-Day, der 2026 aktiv ausgenutzt wurde – nach Vorfällen im Januar, Februar, März und April.
Die Lücke ermöglicht Angreifern, aus der Ferne beliebigen Code auszuführen oder die Adressraum-Verschleierung (ASLR) zu umgehen – und das über eine einzige präparierte HTML-Seite. Sicherheitsforscher meldeten den Fehler Ende April. Google zahlte dafür eine Prämie von 55.000 Euro.
Der Konzern veröffentlichte bereits Anfang der Woche ein Notfall-Update. Chrome 149.0.7827.102 schließt die Lücke auf Windows und Linux, für macOS gibt es die Versionen 149.0.7827.102 und 149.0.7827.103. Insgesamt beseitigte der Patch 74 weitere Schwachstellen, darunter 16 kritische Use-After-Free-Fehler in Komponenten wie Ozone, Bluetooth und Web Apps.
Da der Fehler in der Chromium-Engine steckt, sind auch andere Browser betroffen: Microsoft Edge, Opera, Brave und Vivaldi – sie alle sollten umgehend aktualisiert werden.
Cisco und Arista im Visier
Neben der Chromium-Lücke nahm die CISA zwei Schwachstellen in Unternehmensnetzwerk-Hardware ins Visier.
CVE-2026-20245 betrifft den Cisco Catalyst SD-WAN Manager. Die Schwachstelle ermöglicht eine Command-Injection – Angreifer können damit Root-Rechte erlangen. Zwar gibt es Berichte über verfügbare Patches, doch für bestimmte Konfigurationen scheint noch keine endgültige Lösung zu existieren.
CVE-2026-7473 ist eine Tunnel-Entkapselungsschwachstelle in Arista EOS. Mit einem CVSS-Score von 6,9 gilt sie als mittelschwer, ermöglicht aber Traffic-Manipulation oder unbefugten Zugriff. Die CISA bestätigt, dass beide Lücken aktiv ausgenutzt werden – konkrete Tätergruppen nannte die Behörde nicht.
Dringende Frist für Check Point
Anzeige: Die CISA-Frist bis 23. Juni gilt nicht nur für Behörden – auch Ihr Unternehmen sollte die drei neuen Schwachstellen prioritär schließen. Unser Report zeigt, wie Sie Chrome, Edge, Cisco und Arista in einem strukturierten Prozess aktualisieren und Angreifern zuvorkommen. Patch-Plan jetzt herunterladen
Während Bundesbehörden für die Chromium- und Netzwerk-Lücken noch bis Ende Juni Zeit haben, gilt für eine weitere Schwachstelle eine deutlich strengere Frist: CVE-2026-50751 in Check Points Remote-Access-VPN-Produkten muss bis zum 11. Juni geschlossen werden.
Die kritische Authentifizierungs-Lücke betrifft das IKEv1-Protokoll und wird seit Anfang Mai ausgenutzt. Sicherheitsanalysten bringen einen damit verursachten Einbruch mit einem Ableger der Qilin-Ransomware-Gruppe in Verbindung. Check Point veröffentlichte am 8. Juni Sicherheitsupdates für die betroffenen Mobile-Access- und SSL-VPN-Konfigurationen.
Die CISA appelliert an alle Organisationen – auch in der Privatwirtschaft – die bekannten Schwachstellen prioritär zu schließen. Denn: Jede ungepatchte Lücke ist eine Einladung für Angreifer.
