Die Schwachstelle mit der Kennung CVE-2026-5281 betrifft Dawn, die plattformübergreifende Implementierung des WebGPU-Standards im Chromium-Projekt. Wie aus der Commit-Historie von Chromium hervorgeht, handelt es sich um eine Use-after-free-Schwäche. Über sie lassen sich nach Googles Darstellung Browser-Abstürze, Datenkorruption, Darstellungsfehler oder sonstiges anormales Verhalten provozieren.

Google bestätigte das Vorhandensein eines Exploits, hielt sich zu den konkreten Angriffen jedoch bedeckt. Wie üblich begründete der Konzern dies mit seiner Informationspolitik: Der Zugang zu Fehlerdetails und Verweisen könne so lange beschränkt bleiben, bis die Mehrheit der Nutzer das Update installiert habe. Beschränkungen blieben zudem bestehen, wenn die Lücke in einer Drittanbieter-Bibliothek stecke, von der andere Projekte ebenfalls abhingen und die noch nicht behoben sei.

Das Update steht im Stable-Desktop-Kanal bereit. Für Windows und macOS wird es als Version 146.0.7680.177/178 ausgeliefert, für Linux als 146.0.7680.177. Google weist darauf hin, dass die außerplanmäßige Aktualisierung Tage oder Wochen bis zur flächendeckenden Verteilung benötigen kann; bei einer Prüfung durch BleepingComputer stand sie jedoch bereits sofort zur Verfügung. Wer nicht manuell aktualisieren möchte, kann Chrome die Updates beim nächsten Start automatisch installieren lassen.

Damit ist CVE-2026-5281 der vierte aktiv ausgenutzte Chrome-Zero-Day seit Jahresbeginn. Den ersten Fall, CVE-2026-2441, schloss Google Mitte Februar – ein Fehler durch Iterator-Invalidierung in CSSFontFeatureValuesMap, der Chrome-Implementierung der CSS-Schriftartfunktionen. In diesem Monat folgten zwei weitere in Angriffen ausgenutzte Lücken: ein Out-of-bounds-Write in der 2D-Grafikbibliothek Skia (CVE-2026-3909) sowie eine fehlerhafte Implementierung in der JavaScript- und WebAssembly-Engine V8 (CVE-2026-3910).

Im Jahr 2025 behob Google insgesamt acht in freier Wildbahn ausgenutzte Zero-Days. Viele davon wurden von Googles Threat Analysis Group (TAG) entdeckt und gemeldet, die für das Aufspüren von Zero-Day-Exploits in Spyware-Angriffen bekannt ist.