Die Analyse von Chrome 148 zeigt ein Sicherheitspatch, das in mehreren Aspekten bemerkenswert ist. Von den 22 kritischen Schwachstellen dominieren sogenannte Use-after-free-Fehler – Speicherverwaltungsprobleme, die es Angreifern ermöglichen, auf bereits freigegeben Speicher zuzugreifen und dadurch beliebigen Code auszuführen.
Die höchstdotierten Schwachstellen sind CVE-2026-9872 (Out-of-bounds-Write in der GPU) und CVE-2026-9873 (Use-after-free in der Netzwerk-Komponente), für die die entdeckenden Forscher jeweils 43.000 US-Dollar erhielten. Weitere kritische Lücken sind CVE-2026-9874 (Dawn-Komponente), CVE-2026-9875 (WebGL) und CVE-2026-9876 (WebGL). Diese Vielfalt an betroffenen Subsystemen zeigt, wie weit verbreitet die Speichersicherheitsprobleme sind.
Neben den 22 kritischen Lücken wurden 123 Schwachstellen mit hohem Schweregrad und sechs mit mittlerem Schweregrad geschlossen. Unzureichende Eingabevalidierung und Out-of-bounds-Zugriffe sind weitere häufige Muster.
Besonders interessant ist der Ursprung dieser Sicherheitslücken: Die meisten wurden von Googles eigenem Sicherheitsteam gefunden – nicht von externen Forschern. Dies könnte auf den verstärkten Einsatz von KI-Tools zurückzuführen sein, mit denen Google die Schwachstellenentdeckung automatisiert hat. Diese Strategie ist wirksam, führt aber auch zu erheblich mehr Lücken pro Update. Seit März 2024 wurden pro Chrome-Release über 350 Schwachstellen adressiert.
Google hat die Gesamtkosten für Bounties bislang auf über 130.000 US-Dollar beziffert, wobei viele Rewards noch nicht offengelegt wurden. Dies unterstreicht das erhebliche Sicherheitsrisiko, das diese Lücken dargestellt haben.
Die neuen Versionen sind verfügbar: Windows (148.0.7778.216/217), macOS (148.0.7778.215/216) und Linux (148.0.7778.215). Nutzer sollten das Update zeitnah installieren. Für Unternehmen ist eine schnelle Verteilung kritisch, um Ransomware-, Spyware- und Exploits-in-the-Wild-Risiken zu minimieren.