SchwachstellenHackerangriffeCloud-Sicherheit

Vierte Chrome-Nullday 2026: Google stopft kritische WebGPU-Lücke

Vierte Chrome-Nullday 2026: Google stopft kritische WebGPU-Lücke
Zusammenfassung

Google hat bereits die vierte aktiv ausgenutzte Chrome-Sicherheitslücke des Jahres 2026 geschlossen. Die Schwachstelle CVE-2026-5281 ist ein Use-after-free-Fehler in Dawn, der zugrundeliegenden Implementierung des WebGPU-Standards, und wurde nachweislich von Angreifern im Netz ausgenutzt. Durch die Lücke können Eindringlinge Webbrowser zum Absturz bringen, Datenverfälschungen verursachen oder abnormales Verhalten auslösen. Google hat Notfall-Updates für Windows, macOS und Linux bereitgestellt und arbeitet daran, alle Nutzer mit den Patches zu versorgen – ein Prozess, der laut Unternehmensangaben Tage bis Wochen dauern kann. Die rasche Abfolge von vier Zero-Day-Exploits in wenigen Wochen verdeutlicht die zunehmend aggressive Threat-Landschaft und unterstreicht die Bedeutung regelmäßiger Browser-Updates. Für deutsche Nutzer und Unternehmen ist es entscheidend, Chrome sofort zu aktualisieren, um vor aktiven Angriffen geschützt zu sein. Dies betrifft besonders Organisationen, die auf webbasierte Anwendungen mit WebGPU-Unterstützung angewiesen sind. Die Häufung von Exploits zeigt, dass auch etablierte und verbreitete Software wie Chrome kontinuierlich zum Ziel von Cyberkriminellen wird.

Die rasante Abfolge von Sicherheitslücken zeigt ein besorgniserregendes Muster bei der Browser-Sicherheit. Mit CVE-2026-5281 behandelt Google 2026 bereits die vierte Nullday-Schwachstelle, die nachweislich von Cyberkriminellen ausgenutzt wird. Im Gegensatz zu bekannten Sicherheitslücken, bei denen Patches zeitversetzt zur Veröffentlichung erfolgen, nutzen Angreifer Nulldays sofort aus — bevor Entwickler und Nutzer überhaupt Gelegenheit haben zu reagieren.

Google teilte mit, dass eine aktive Ausnutzung der WebGPU-Lücke bereits dokumentiert ist, hielt sich aber mit Details bedeckt. Das Unternehmen folgt dabei seiner Standard-Praxis: Technische Informationen bleiben unter Verschluss, solange sich nicht die Mehrheit der Nutzer aktualisiert hat. Dies soll verhindern, dass weitere Cyberkriminelle die Sicherheitslücke kopieren und für größere Angriffskampagnen nutzen.

Die aktualisierten Chrome-Versionen (146.0.7680.177/178) sind ab sofort verfügbar. Google empfiehlt eine manuelle Installation oder die Aktivierung der automatischen Update-Funktion beim nächsten Start — wobei automatische Updates standardmäßig aktiviert sein sollten.

Doch dies ist Teil eines größeren Trends. Neben CVE-2026-5281 patcht Google in dieser Welle auch zwei weitere Nulldays aus dem Januar: CVE-2026-3909, eine Out-of-Bounds-Schreibschwachstelle in der Skia-Grafikbibliothek, und CVE-2026-3910, eine fehlerhafte Implementierung in der V8-JavaScript-Engine. Das erste Chrome-Nullday des Jahres, CVE-2026-2441, war ein Iterator-Invalidierungs-Bug in der CSS-Font-Implementierung, der im Februar bekannt wurde.

Das Erschreckende: 2025 musste Google insgesamt acht ausgenutzte Nulldays in Chrome beheben — ein Trend, der sich 2026 fortsetzt. Viele dieser Lücken wurden von Googles eigener Threat Analysis Group (TAG) entdeckt, die sich auf die Verfolgung von Nullday-Exploits spezialisiert hat, besonders jene in Spyware-Kampagnen.

Für deutsche Nutzer und Unternehmen ist rasches Handeln erforderlich. Gerade Organisationen im öffentlichen Sektor, Finanzinstitute und kritische Infrastrukturen sollten Chrome-Deployments prioritär aktualisieren. Die Verzögerung bei der globalen Verteilung von Updates — Google spricht von Tagen bis Wochen — schafft ein Zeitfenster, in dem Angreifer tätig werden können.

Ähnliche Artikel