Google schließt aktiv ausgenutzte Chrome-Zero-Day-Lücke

Im Mittelpunkt des aktuellen Sicherheitsupdates von Google steht CVE-2026-11645. Die Schwachstelle wird mit einem CVSS-Wert von 8,8 als hoch eingestuft und steckt in V8, der JavaScript- und WebAssembly-Engine von Chrome. Google beschreibt den Fehler als Speicherzugriff außerhalb der zulässigen Grenzen.

Brisant ist vor allem der Status der Lücke: Google hat bestätigt, dass ein Exploit für CVE-2026-11645 bereits im Umlauf ist. Zusätzliche Einzelheiten hielt das Unternehmen jedoch zurück. Die Begründung: Zunächst solle die Mehrzahl der Nutzer mit einem Fix versorgt werden, zugleich wolle man weitere Ausnutzung erschweren.

Insgesamt umfasst das Update 74 behobene Schwachstellen. Mit CVE-2026-11645 setzt sich zudem eine Entwicklung fort, die Google in diesem Jahr bereits mehrfach beschäftigt hat. Seit Jahresbeginn hat der Konzern nach eigenen Angaben fünf aktiv ausgenutzte Chrome-Zero-Days geschlossen. Zu den zuvor adressierten Fällen zählen CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 und CVE-2026-5281.

Neben dem Chrome-Fix nennt der Rückblick eine Reihe weiterer Schwachstellen, die in dieser Woche als besonders relevant hervorgehoben wurden. Dazu zählen CVE-2026-50751 in Check Point Remote Access VPN und Mobile Access, CVE-2026-35273 in Oracle PeopleSoft, CVE-2026-5027 in Langflow, CVE-2026-44963 in Veeam Backup & Replication, CVE-2026-23111 im Linux-Kernel und CVE-2026-45447 in OpenSSL.

Ebenfalls auf der Liste stehen mehrere SAP-Schwachstellen: CVE-2026-44748 und CVE-2026-27671 in SAP NetWeaver AS ABAP und ABAP Platform, CVE-2026-22732 in SAP Commerce Cloud und SAP Data Hub sowie CVE-2026-40128 im SAP NetWeaver Application Server Java Web Container. Hinzu kommen CVE-2026-10520 in Ivanti Sentry, die fünf Schwachstellen CVE-2026-28252 bis CVE-2026-28256 im Trane Tracer SC+ HVAC-Controller, CVE-2025-46412 und CVE-2025-41426 in Vertiv Liebert IS-UNITY-DP-Netzwerkkarten sowie CVE-2026-0274 in Palo Alto Networks Cortex XSOAR und Cortex XSIAM.

Genannt werden außerdem CVE-2026-20253 in Splunk Enterprise, CVE-2026-9648 im Haskell-TLS-Software-Stack, die Chrome-Lücken CVE-2026-12007 bis CVE-2026-12011, CVE-2026-45034 in PhpSpreadsheet sowie PTT-2026-004 und PTT-2026-005. Der Rückblick verweist darüber hinaus auf eine Authentifizierungsumgehung in phpBB und auf eine Schwachstelle zur Code-Injektion mit maximalem Schweregrad in Wazuh, für die noch keine CVE-Nummer genannt wird.