Google schließt aktiv ausgenutzte Chrome-0-Day-Lücke

Zusammenfassung

Google hat Sicherheitsupdates für Chrome veröffentlicht und damit 74 Schwachstellen behoben. Besonders heraus sticht CVE-2026-11645, eine als hoch eingestufte Zero-Day-Lücke mit einem CVSS-Wert von 8,8, die nach Angaben des Unternehmens bereits aktiv ausgenutzt wird. Der Fehler betrifft V8, also die JavaScript- und WebAssembly-Engine von Chrome, und wurde als Speicherzugriff außerhalb des zulässigen Bereichs beschrieben. Google bestätigte, dass es einen Exploit für CVE-2026-11645 „in freier Wildbahn“ gibt, nannte aber bewusst keine weiteren Details. Das Unternehmen begründete das damit, dass zunächst möglichst viele Nutzer ein Update einspielen sollen und eine weitere Ausnutzung erschwert werden soll. Seit Jahresbeginn ist dies laut Google bereits die fünfte aktiv ausgenutzte Chrome-Zero-Day, die geschlossen wurde.

Im Mittelpunkt des aktuellen Wochenrückblicks steht ein neues Chrome-Sicherheitsupdate von Google. Der Hersteller hat insgesamt 74 Schwachstellen behoben, darunter CVE-2026-11645. Die Lücke wird mit einem CVSS-Wert von 8,8 als schwerwiegend eingestuft und betrifft V8, die JavaScript- und WebAssembly-Engine des Browsers.

Google beschreibt den Fehler als Speicherzugriff außerhalb des zulässigen Bereichs. Das Unternehmen bestätigte zudem, dass für CVE-2026-11645 bereits ein Exploit existiert, der aktiv eingesetzt wird. Weitere technische Einzelheiten hielt Google jedoch zurück. Nach Angaben des Unternehmens soll so sichergestellt werden, dass zunächst ein Großteil der Nutzer abgesichert ist und zusätzliche Angriffe nicht erleichtert werden.

Nach Zählung von Google ist CVE-2026-11645 bereits die fünfte Chrome-Zero-Day, die seit Jahresbeginn als aktiv ausgenutzt geschlossen wurde. Zuvor hatte der Konzern bereits die ebenfalls in laufenden Angriffen ausgenutzten Schwachstellen CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 und CVE-2026-5281 behoben.

Der Rückblick nennt darüber hinaus weitere Schwachstellen, die in dieser Woche als besonders relevant hervorgehoben werden. Dazu zählen laut Liste unter anderem CVE-2026-50751 in Check Point Remote Access VPN und Mobile Access, CVE-2026-35273 in Oracle PeopleSoft, CVE-2026-5027 in Langflow, CVE-2026-44963 in Veeam Backup & Replication, CVE-2026-23111 im Linux-Kernel und CVE-2026-45447 in OpenSSL.

Ebenfalls aufgeführt werden mehrere SAP-Schwachstellen, darunter CVE-2026-44748 und CVE-2026-27671 in SAP NetWeaver AS ABAP und ABAP Platform, CVE-2026-22732 in SAP Commerce Cloud und SAP Data Hub sowie CVE-2026-40128 im SAP NetWeaver Application Server Java Web Container. Hinzu kommen CVE-2026-10520 in Ivanti Sentry, die Schwachstellen CVE-2026-28252 bis CVE-2026-28256 im Trane Tracer SC+ HVAC-Controller, CVE-2025-46412 und CVE-2025-41426 in Vertiv Liebert IS-UNITY-DP-Netzwerkkarten sowie CVE-2026-0274 in Palo Alto Networks Cortex XSOAR und Cortex XSIAM.

Die Liste umfasst außerdem CVE-2026-20253 in Splunk Enterprise, CVE-2026-9648 im Haskell-TLS-Software-Stack, die Chrome-Schwachstellen CVE-2026-12007 bis CVE-2026-12011, CVE-2026-45034 in PhpSpreadsheet, PTT-2026-004 und PTT-2026-005, eine Authentifizierungsumgehung in phpBB sowie eine als maximal kritisch bezeichnete Code-Injection-Lücke in Wazuh, für die noch keine CVE-Nummer genannt wird.

Der zugrundeliegende Wochenrückblick ordnet diese Funde als Beispiele für Schwachstellen ein, bei denen die Zeitspanne zwischen Patch und funktionierendem Exploit immer kürzer werde. Besonders im Fokus stehen dort Fehler mit hoher Schwere, großer Verbreitung oder bereits beobachteten Angriffen.

Google schließt aktiv ausgenutzte Chrome-0-Day-Lücke

Ähnliche Artikel

Neueste Artikel