Google hat eine kritische Lücke in Chrome gepatcht. CVE-2026-8580 ist ein Use-After-Free im Mojo-IPC-Layer, bewertet mit CVSS 9.6. Über eine präparierte Webseite kann ein Angreifer aus der Chrome-Sandbox ausbrechen und potenziell Code im Host ausführen. Heißt: Ein Klick auf den falschen Link, und dein Rechner ist offen.
SCHOCK: Was Mojo-IPC ist und warum’s wehtut
Mojo ist Chromes interner Kommunikationsmechanismus zwischen den vielen Prozessen, die der Browser parallel betreibt: Renderer, GPU-Process, Network, Browser, Utility, Plugin. Mojo-IPC ist quasi der Postdienst zwischen diesen Prozessen.
Ein Use-After-Free hier ist besonders gefährlich, weil der vulnerable Code in einem hoch privilegierten Prozess sitzt. Wer den Bug ausnutzt, hat Aussichten auf Sandbox-Escape — also Ausbruch aus der Browser-Isolation in den Host.
UNGLAUBLICH: Wen das alles trifft
Nicht nur Chrome ist betroffen. Praktisch jeder Chromium-basierte Browser nutzt denselben Mojo-Code:
- Microsoft Edge
- Brave
- Vivaldi
- Opera
- Arc
- Yandex Browser
- Samsung Internet
Mobile Versionen sind ebenfalls verwundbar — Chrome für Android, Edge auf iOS (das nutzt zwar WebKit, aber Mojo-Strukturen sind teilweise mitkompiliert), Samsung Internet, Opera Mobile.
HAMMER: So updatest du in 30 SEKUNDEN
Chrome:
- Adressleiste öffnen,
chrome://settings/helpeingeben - Chrome prüft automatisch — wenn ein Update da ist, installiert es
- „Neu starten“ klicken — fertig
Edge:
edge://settings/helpBrave / Vivaldi / Opera / Arc: Im jeweiligen Hilfe- oder Über-Menü manuell auf Updates prüfen. Nach dem Update alle Browser-Fenster schließen und neu öffnen, sonst läuft die alte vulnerable Version weiter.
GEFAHR! Wann der Patch in deinem Browser ankommt
- Chrome: Stable-Channel ab 14. Mai 2026 ausgerollt
- Edge: binnen 24-48 Stunden nach Chrome (Microsoft hat eigene Build-Pipeline)
- Brave / Vivaldi / Opera: 1-3 Tage Verzug typisch
- Arc: meist innerhalb 24 Stunden nach Chrome
Wer auf Linux mit Snap oder Flatpak Chrome nutzt: Updates können bis zu einer Woche brauchen, wenn das Paket nicht manuell aktualisiert wird. snap refresh chromium oder flatpak update org.chromium.Chromium erzwingen das Update.
EXTRA-TIPP: Site-Isolation als Verteidigungslinie
Chrome bietet pro Origin eine eigene Renderer-Isolation. Aktiviert ist sie standardmäßig. Wer absolut sichergehen will, kann zusätzlich pro Tab Profile trennen — sensitive Tabs (Banking, Cloud-Admin) in einem eigenen Profil oder Container öffnen.
Für Enterprise-Setups: Chrome-Policy „SitePerProcess“ erzwingen, plus „BrowserSwitcherEnabled“ für ältere Web-Apps in IE-Mode.
FAZIT: Browser-Update gehört auf den heutigen Plan
CVSS 9.6 + Sandbox-Escape ist eine Kombination, die du nicht ignorieren willst. Chrome aktualisieren, neu starten, fertig. Familie und Kollegen darauf hinweisen — vor allem die, die Chrome auf dem Smartphone laufen lassen.
Häufige Fragen
Welche Versionen sind betroffen?
Wie merke ich, ob mein System verwundbar ist?
chrome://settings/help die Versionsnummer prüfen. Wenn dort steht „Chrome ist auf dem neuesten Stand“, bist du sicher. Bei anderen Chromium-Browsern entsprechend ihre Hilfe-/Über-Seite. Im Zweifel manuell Update anstoßen.Wie behebe ich das Problem konkret?
snap refresh chromium oder Flatpak-Update erzwingen. Auf Smartphones via App-Store automatische Updates aktivieren — Verzögerungen drohen sonst.Gab es schon aktive Angriffe?
Quellen: TheHackerWire, Chrome Releases Blog, CVE Feed