Google schließt aktiv ausgenutzte Chrome-Sicherheitslücke in Wochenrückblick mit weiteren kritischen CVEs

Google hat Sicherheitsupdates für Chrome veröffentlicht, die insgesamt 74 Schwachstellen schließen. Besonders relevant ist CVE-2026-11645, eine aktiv ausgenutzte Zero-Day-Lücke mit einem CVSS-Wert von 8,8. Laut Google handelt es sich um einen Speicherzugriff außerhalb des erlaubten Bereichs in V8, der JavaScript- und WebAssembly-Engine des Browsers.

Der Hersteller bestätigte, dass für CVE-2026-11645 bereits ein Exploit in freier Wildbahn existiert. Weitere Einzelheiten nannte Google nicht. Das Unternehmen begründete dies damit, zunächst einer Mehrheit der Nutzer Zeit für die Installation des Updates zu geben und zusätzliche Angriffe nicht weiter zu erleichtern.

Nach Angaben von Google ist CVE-2026-11645 bereits die fünfte aktiv ausgenutzte Chrome-Zero-Day-Schwachstelle seit Jahresbeginn. Zuvor nannte das Unternehmen in diesem Zusammenhang bereits CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 und CVE-2026-5281.

Der Wochenrückblick hebt daneben weitere besonders relevante Schwachstellen hervor, die entweder weit verbreitete Produkte betreffen, als hochriskant gelten oder bereits auf erste Angriffsaktivitäten stoßen. Genannt werden dabei CVE-2026-50751 in Check Point Remote Access VPN und Mobile Access, CVE-2026-35273 in Oracle PeopleSoft, CVE-2026-5027 in Langflow und CVE-2026-44963 in Veeam Backup & Replication.

Auf der Liste stehen außerdem CVE-2026-23111 im Linux-Kernel, CVE-2026-45447 in OpenSSL, CVE-2026-44748 sowie CVE-2026-27671 in SAP NetWeaver AS ABAP und ABAP Platform, CVE-2026-22732 in SAP Commerce Cloud und SAP Data Hub sowie CVE-2026-40128 im SAP NetWeaver Application Server Java Web Container.

Ebenfalls aufgeführt werden CVE-2026-10520 in Ivanti Sentry, die Schwachstellen CVE-2026-28252 bis CVE-2026-28256 im Trane Tracer SC+ HVAC-Controller, CVE-2025-46412 und CVE-2025-41426 in Vertiv Liebert IS-UNITY-DP-Netzwerkkarten, CVE-2026-0274 in Palo Alto Networks Cortex XSOAR und Cortex XSIAM, CVE-2026-20253 in Splunk Enterprise sowie CVE-2026-9648 im Haskell-TLS-Software-Stack.

Hinzu kommen die Chrome-Schwachstellen von CVE-2026-12007 bis CVE-2026-12011, CVE-2026-45034 in PhpSpreadsheet, PTT-2026-004, PTT-2026-005, eine Authentifizierungsumgehung in phpBB sowie eine Code-Injection-Schwachstelle mit maximalem Schweregrad in Wazuh, für die laut Rückblick noch keine CVE vorliegt.

Der Rückblick rahmt diese Funde als weiteres Beispiel dafür ein, wie häufig alte oder vernachlässigte Komponenten weiterhin zum Einfallstor werden. Konkret verweist der Text auf offen erreichbare Altwerkzeuge, missbrauchte aufgegebene Pakete und veraltete Funktionen, die noch in Produktivumgebungen laufen.