#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

ZERO-DAY-ALARM! Eine präparierte Webseite reicht — Chrome JETZT updaten!

ZERO-DAY-ALARM! Eine präparierte Webseite reicht — Chrome JETZT updaten!

Es ist das Szenario, das Sicherheitsprofis am meisten fürchten: Du klickst auf einen Link, sonst NICHTS — und fremder Code läuft in deinem Browser. Genau das passiert gerade. Google hat ein Notfall-Update für Chrome veröffentlicht, das die Lücke CVE-2026-11645 schließt. Und die wird bereits aktiv ausgenutzt.

GEFAHR! Eine Webseite reicht für den Angriff

Die Schwachstelle steckt in V8, der JavaScript- und WebAssembly-Engine von Chrome. Ein Out-of-Bounds-Speicherzugriff (CVSS 8,8) erlaubt es Angreifern, über eine präparierte HTML-Seite Code innerhalb der Browser-Sandbox auszuführen. Kein Download, kein Anhang, keine Warnung: Der Besuch einer kompromittierten Seite oder einer bösartigen Werbeanzeige genügt.

SCHOCK: Schon der FÜNFTE Chrome-Zero-Day in 2026

Gemeldet wurde die Lücke bereits am 27. April von einem Forscher mit dem Pseudonym „303f06e3″ — Google zahlte dafür satte 55.000 Dollar Bug-Bounty. Bitter: Es ist schon der fünfte aktiv ausgenutzte Chrome-Zero-Day in diesem Jahr und der zweite in der V8-Engine. Das Notfall-Update kam am 9. Juni als Teil eines großen Patch-Pakets, das insgesamt 74 Sicherheitslücken stopft.

So updatest du in 2 MINUTEN

  • Chrome öffnen → Menü → Hilfe → Über Google Chrome.
  • Der Browser lädt das Update automatisch — sicher bist du ab Version 149.0.7827.102 (Windows/macOS auch .103).
  • WICHTIG: Neustart nicht vergessen! Erst nach dem Neustart ist der Patch aktiv.
  • Edge, Brave, Vivaldi & Co. basieren auf Chromium — auch dort in den nächsten Tagen auf Updates achten.

EXTRA-TIPP: Update-Routine statt Update-Panik

Fünf Zero-Days in sechs Monaten zeigen: Der Browser ist DAS Einfallstor Nummer eins — gerade auch im Homelab, wo am selben Rechner die Admin-Oberflächen von NAS, Proxmox und Router offen sind. Wer Browser-Updates automatisiert und den Browser abends schlicht mal schließt (damit Updates greifen), nimmt Angreifern das wichtigste Zeitfenster.

FAZIT: Erst updaten, dann weitersurfen

Diese Lücke ist keine theoretische Übung — die Angriffe laufen. Zwei Minuten, ein Neustart, fertig. Mach es JETZT, bevor du diesen Tab schließt… na gut: direkt danach.

Häufige Fragen

Welche Versionen sind betroffen?
Verwundbar sind alle Desktop-Versionen von Google Chrome vor 149.0.7827.102 unter Windows, macOS und Linux. Da der Fehler in der V8-Engine steckt, betreffen vergleichbare Risiken auch andere Chromium-Browser wie Microsoft Edge, Brave oder Vivaldi — deren Hersteller verteilen eigene Updates in den kommenden Tagen.
Wie merke ich, ob mein Browser verwundbar ist?
Öffne chrome://settings/help — dort siehst du die installierte Version. Steht dort eine Nummer unterhalb von 149.0.7827.102, bist du verwundbar und der Browser beginnt in der Regel sofort mit dem Download des Updates. Entscheidend ist der anschließende Neustart des Browsers, sonst bleibt die alte Version aktiv.
Wie läuft ein Angriff über diese Lücke ab?
Der Angreifer platziert präparierten JavaScript-Code auf einer Webseite — etwa über eine gehackte legitime Seite oder eingekaufte Werbebanner. Besucht ein ungepatchter Chrome die Seite, löst der Code einen Out-of-Bounds-Speicherzugriff in V8 aus und führt Schadcode in der Sandbox aus, oft als erste Stufe einer längeren Angriffskette.
Gab es schon aktive Angriffe?
Ja — Google bestätigt, dass ein Exploit für CVE-2026-11645 in freier Wildbahn existiert und eingesetzt wird. Details zu Zielen und Tätern hält Google wie üblich zurück, bis die Mehrheit der Nutzer gepatcht ist. Es ist bereits der fünfte aktiv ausgenutzte Chrome-Zero-Day im Jahr 2026.

Quellen: The Hacker News · Malwarebytes · Help Net Security

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert