Die jetzt geschlossene Schwachstelle CVE-2026-11645 betrifft V8, also die Engine von Chrome für JavaScript und WebAssembly. Google beziffert den Schweregrad mit 8,8 Punkten nach CVSS. Der NIST-Eintrag in der National Vulnerability Database beschreibt den Fehler als Out-of-Bounds-Speicherzugriff. Demnach erlaubte die Lücke in Google Chrome vor Version 149.0.7827.103 über eine speziell gestaltete HTML-Seite die Ausführung beliebigen Codes innerhalb einer Sandbox.
Entdeckt und an Google gemeldet wurde der Fehler laut Hersteller von einem Sicherheitsforscher mit dem Namen „303f06e3“. Die Meldung erfolgte am 27. April 2026. Für die verantwortungsvolle Offenlegung erhielt der Forscher eine Prämie von 55.000 US-Dollar.
Google bestätigte außerdem, dass für CVE-2026-11645 bereits ein Exploit im Umlauf ist. Weitere Einzelheiten dazu ließ das Unternehmen bewusst offen. Google begründete das damit, dass zunächst möglichst viele Nutzer ein Update installieren sollen und eine weitergehende Ausnutzung verhindert werden soll.
Mit CVE-2026-11645 steigt die Zahl der in diesem Jahr bereits aktiv ausgenutzten Chrome-Zero-Days laut Google auf fünf. Zuvor hatte das Unternehmen schon die Zero-Day-Schwachstellen CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 und CVE-2026-5281 behoben.
Für Windows und Apple macOS empfiehlt Google die Aktualisierung auf Chrome 149.0.7827.102 beziehungsweise 149.0.7827.103. Unter Linux steht Version 149.0.7827.102 bereit. Wer prüfen will, ob das Update installiert ist, findet die Versionskontrolle im Browser unter „Mehr“ > „Hilfe“ > „Über Google Chrome“; danach kann der Browser per „Neu starten“ neu gestartet werden.
Der Hinweis betrifft nicht nur Chrome selbst. Nutzer anderer Chromium-basierter Browser wie Microsoft Edge, Brave, Opera und Vivaldi sollten die entsprechenden Aktualisierungen ebenfalls einspielen, sobald diese verfügbar sind.