CVE-2026-11645: Warum Sie Chrome jetzt sofort aktualisieren müssen

Der Fehler wird mit einem CVSS-Wert von 8,8 als "hoch" eingestuft . Ein erfolgreicher Angriff bedeutet, dass ein Krimineller Code mit den Rechten des Browser-Prozesses ausführen kann. In der Praxis reicht das aus, um Malware zu installieren, Daten zu stehlen oder eine Basis für weitere Angriffe zu legen. Derartige Lese-/Schreibfehler machen es Angreifern zudem möglich, Schutzmechanismen wie die Adressraum-Layout-Randomisierung (ASLR) zu umgehen und so noch tiefer ins System einzudringen .

Details zum Update und Zeitplan

Das Notfall-Update wurde über den Stable-Desktop-Kanal von Chrome in einem größeren Paket ausgerollt, das insgesamt 74 Sicherheitslücken schließt . Google bestätigt offiziell, dass ein Exploit für CVE-2026-11645 "in freier Wildbahn existiert", was das Update zu einem absoluten Muss für alle Chrome-Nutzer macht .

Die gepatchten Versionen lauten:

• Windows und macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Chrome aktualisiert sich normalerweise automatisch im Hintergrund, aber die Verteilung kann einige Tage dauern. Sie können das Update sofort auslösen, indem Sie in Chrome auf das Drei-Punkte-Menü (⋮) > Hilfe > Über Google Chrome klicken.

Bug-Bounty und Meldung

Ein anonymer Sicherheitsforscher, der unter dem Pseudonym "303f06e3" agiert, entdeckte die Schwachstelle und meldete sie am 27. April 2026 an Google . Für diesen Fund zahlte Google eine Prämie von 55.000 US-Dollar im Rahmen seines "Chrome Vulnerability Rewards Program" . In den offiziellen Chrome-Release-Notizen wird der Betrag zwar erwähnt, normalerweise schlüsselt das Unternehmen die Prämien für einzelne Lücken in seinen Sicherheitshinweisen jedoch nicht detailliert auf.

Ein besorgniserregender Trend: Die Zero-Day-Lücken 2026 im Überblick

Mit CVE-2026-11645 hat Google in diesem Jahr bereits fünf aktiv ausgenutzte Zero-Day-Lücken in Chrome gestopft . Ein Blick auf die Liste zeigt eine alarmierende Frequenz von Angriffen auf den Browser:

• CVE-2026-2441 (Februar 2026, CVSS 8.8): Ein Use-after-free-Fehler in der CSS-Verarbeitung, der Remotecodeausführung per HTML-Seite erlaubte .
• CVE-2026-3909 (12. März 2026, CVSS 8.8): Ein Out-of-Bounds-Schreibfehler in der 2D-Grafikbibliothek Skia. .
• CVE-2026-3910 (12. März 2026, CVSS 8.8): Ein Implementierungsfehler in der V8-Engine, der Angreifern beliebige Codeausführung in der Sandbox ermöglichte .
• CVE-2026-5281 (1. April 2026, CVSS 8.8): Ein Use-after-free-Bug in Dawn, der WebGPU-Implementierung von Chrome. Die US-Cybersicherheitsbehörde CISA nahm diese Lücke in ihren Katalog bekannter ausgenutzter Schwachstellen auf .
• CVE-2026-11645 (Juni 2026, CVSS 8.8): Der aktuelle V8-Out-of-Bounds-Fehler .

Alle fünf Lücken wurden nachweislich ausgenutzt, bevor Patches verfügbar waren. Damit entwickelt sich 2026 zu einem Rekordjahr, das die Gesamtzahl der in den Vorjahren gestopften Chrome-Zero-Days zu übertreffen droht. Mehrere Quellen aus der Cybersicherheitsbranche berichten, dass in den monatlichen Update-Paketen nun regelmäßig mindestens ein aktiv ausgenutzter Fehler steckt .

Das sollten Sie jetzt tun

Für Privatnutzer gilt: Öffnen Sie Chrome, gehen Sie auf das Drei-Punkte-Menü oben rechts, wählen Sie Hilfe > Über Google Chrome und lassen Sie den Browser nach Updates suchen. Die installierte Versionsnummer sollte 149.0.7827.102 (Windows/Linux) oder 149.0.7827.103 (macOS) oder höher lauten .

Für Unternehmen und IT-Abteilungen: Der bestätigte Status "in freier Wildbahn" bedeutet, dass jedes System mit einer älteren Chrome-Version akut angreifbar ist. Prüfen Sie umgehend, ob alle Endgeräte im Netzwerk die neueste Version installiert haben und ziehen Sie ein beschleunigtes Ausrollen dieser außerplanmäßigen Sicherheitskorrektur in Betracht. Die Dringlichkeit ist in diesem Fall höher als bei regulären Updates.