Die beiden kritischen Schwachstellen in Chrome 147 betreffen ausschließlich die WebML-Komponente, mit der sich Machine-Learning-Modelle unmittelbar im Browser ausführen lassen. Google beschreibt CVE-2026-5858 als Heap-Buffer-Overflow und CVE-2026-5859 als Integer-Overflow. Beide wurden von anonymen Forschern gemeldet, die jeweils 43.000 Dollar erhielten.

Die Höhe der Prämien zusammen mit der kritischen Bewertung legt nahe, dass die Fehler für ein Ausbrechen aus der Sandbox und/oder für die Remote-Code-Ausführung missbraucht werden könnten.

Von den weiteren Korrekturen sind 14 mit der Stufe „hoch" versehen. Betroffen sind Komponenten wie WebRTC, V8, WebAudio, Media, WebML, Angle, Skia und Blink. Knapp die Hälfte dieser Lücken fand Google selbst intern, viele weitere meldeten erneut anonyme Forscher. Für lediglich zwei davon nennt der Konzern eine Prämie: 11.000 Dollar für CVE-2026-5860 und 3.000 Dollar für CVE-2026-5861.

Die restlichen Schwachstellen sind als „mittel" oder „niedrig" eingestuft, wobei mindestens ein Fehler mittlerer Schwere von Bedeutung erscheint: Für CVE-2026-5874, einen Use-after-free-Fehler in PrivateAI, zahlte Google eine Prämie von 11.000 Dollar.

Eine aktive Ausnutzung einer der Lücken ist nach Angaben von Google nicht bekannt. Zum Vergleich: Ende März hatte das Unternehmen ein Chrome-Update veröffentlicht, das 21 Schwachstellen schloss – darunter eine Zero-Day-Lücke, die in Angriffen ausgenutzt wurde.

Ebenfalls in dieser Woche kündigte Google an, in Chrome neue Schutzmaßnahmen für Sitzungs-Cookies ausgerollt zu haben. Sie sollen die Übernahme von Konten über gestohlene Authentifizierungs-Cookies verhindern.