Mit dem aktuellen Update für Chrome 146 hat Google acht Speichersicherheitslücken geschlossen, die allesamt als „hoch" eingestuft sind und sich auf sieben verschiedene Komponenten des Browsers verteilen.
Ganz oben auf der Liste steht CVE-2026-4673, ein Heap-Buffer-Overflow in der Komponente WebAudio. Für die Meldung dieser Schwachstelle zahlte Google dem verantwortlichen Sicherheitsforscher eine Bug-Bounty-Prämie von 7.000 US-Dollar. Derselbe Forscher entdeckte und meldete auch CVE-2026-4677, einen Out-of-Bounds-Read ebenfalls in WebAudio; über die dafür vorgesehene Prämie hat Google nach eigenen Angaben noch nicht entschieden.
Tatsächlich nannte das Unternehmen ausschließlich die Summe für die erste WebAudio-Lücke und ließ offen, welche Beträge für die übrigen Schwachstellen gezahlt werden.
Darüber hinaus behebt das Update einen Out-of-Bounds-Read in CSS (CVE-2026-4674), einen Heap-Buffer-Overflow in WebGL (CVE-2026-4675), drei Use-after-free-Fehler in Dawn, WebGPU und FedCM (CVE-2026-4676, CVE-2026-4678 und CVE-2026-4680) sowie einen Integer-Overflow in der Schriftverarbeitung (CVE-2026-4679).
Die Korrekturen für sämtliche Sicherheitslücken stecken in den Chrome-Versionen 146.0.7680.164/165 für Windows und macOS sowie in Version 146.0.7680.164 für Linux. Nutzer sollten ihren Browser zügig aktualisieren, da Chrome-Schwachstellen häufig in Angriffen ausgenutzt werden.
Rund zwei Wochen zuvor hatte Google bereits ein Notfall-Update verteilt, um zwei Chrome-Zero-Days zu beheben. Diese waren intern entdeckt worden, nur wenige Tage nachdem Chrome 146 in den stabilen Kanal überführt worden war. Zu den beiden Lücken mit den Kennungen CVE-2026-3909 und CVE-2026-3910 machte das Unternehmen keine näheren Angaben; von Google selbst aufgespürte Schwachstellen werden allerdings häufig von kommerziellen Überwachungsanbietern ins Visier genommen.
