Neben den beiden teuersten Funden meldeten externe Forscher drei weitere kritische Schwachstellen: CVE-2026-9874, eine Use-after-free-Lücke in Dawn, CVE-2026-9875, einen Out-of-Bounds-Read in WebGL, sowie CVE-2026-9876, ebenfalls eine Use-after-free-Schwachstelle in WebGL.
Der überwiegende Teil der kritischen Fehler in diesem Update sind Use-after-free-Bugs. Diese Klasse von Speicherfehlern kann es Angreifern ermöglichen, Code aus der Ferne auszuführen, die Sandbox von Chrome zu verlassen und unter Umständen das gesamte System zu kompromittieren.
Über die kritischen Lücken hinaus behebt das Update 123 als hoch und sechs als mittelschwer eingestufte Schwachstellen. Auch hier dominieren Use-after-free-Fehler die Liste, gefolgt von unzureichender Prüfung nicht vertrauenswürdiger Eingaben und Out-of-Bounds-Problemen.
Nach eigenen Angaben hat Google für zehn von externen Forschern gemeldete Sicherheitslücken bereits über 130.000 US-Dollar an Prämien ausgezahlt. Die endgültige Summe dürfte höher liegen, da das Unternehmen die Beträge für mehrere weitere Schwachstellen noch nicht offengelegt hat.
Wie schon bei den jüngsten Chrome-Aktualisierungen wurde der Großteil der behobenen Schwachstellen von Google selbst entdeckt. Seit Ende März ist die Zahl der pro Update geschlossenen Lücken deutlich gestiegen; allein rund um Chrome 148 wurden über 350 Probleme behoben, dieses Update eingerechnet.
Da die meisten Funde den Vermerk „von Google gemeldet“ tragen, führt der Bericht den Anstieg der Entdeckungen vermutlich auf den Einsatz von KI zurück – ein Umstand, der das Unternehmen im vergangenen Monat auch dazu bewog, die Chrome-Prämien zu senken.
Das Update wird derzeit als Version 148.0.7778.216/217 für Windows, als Version 148.0.7778.215/216 für macOS und als Version 148.0.7778.215 für Linux verteilt.
