Die nun geschlossene Schwachstelle CVE-2026-5281 betrifft Dawn, eine quelloffene und plattformübergreifende Implementierung des WebGPU-Standards. Nach der Beschreibung in der National Vulnerability Database (NVD) des NIST handelt es sich um einen Use-after-free-Fehler: Ein Angreifer, der zuvor aus der Ferne den Renderer-Prozess kompromittiert hatte, konnte über eine speziell präparierte HTML-Seite beliebigen Code ausführen. Anfällig sind Chrome-Versionen vor 146.0.7680.178.

Google stuft die Lücke als hochgradig kritisch ein und bestätigte, dass ein Exploit dafür in freier Wildbahn existiert. Ein CVSS-Wert wurde nicht angegeben. Zu den näheren Umständen der Ausnutzung sowie zu möglichen Hintermännern machte das Unternehmen keine Angaben. Dieses Vorgehen ist bei derartigen Warnungen üblich und soll verhindern, dass weitere Akteure die Schwachstelle ausnutzen, bevor die Mehrheit der Nutzer das Update installiert hat.

Insgesamt behebt das aktuelle Update 21 Schwachstellen. Die jüngste Zero-Day-Lücke reiht sich in eine Serie ein: Erst kürzlich hatte Google Korrekturen für zwei hochgradig kritische Fehler (CVE-2026-3909 und CVE-2026-3910) ausgeliefert, die ebenfalls als Zero-Days ausgenutzt wurden. Bereits im Februar schloss der Konzern einen aktiv ausgenutzten Use-after-free-Fehler in der CSS-Komponente von Chrome (CVE-2026-2441). Seit Jahresbeginn hat Google damit insgesamt vier aktiv ausgenutzte Chrome-Zero-Days behoben.

Nutzern wird empfohlen, ihren Browser auf die Versionen 146.0.7680.177/178 für Windows und Apple macOS sowie 146.0.7680.177 für Linux zu aktualisieren. Ob das Update installiert ist, lässt sich über das Menü unter „Mehr > Hilfe > Über Google Chrome" prüfen; anschließend startet ein Klick auf „Neu starten" den Browser mit der aktualisierten Version.

Auch Anwender anderer Chromium-basierter Browser wie Microsoft Edge, Brave, Opera und Vivaldi sollten die entsprechenden Korrekturen einspielen, sobald diese verfügbar sind.