Den Hinweis auf die ausgenutzte Schwachstelle verdankt Google einem anonymen Sicherheitsforscher. Dieselbe Person wird auch für eine weitere Use-after-free-Lücke in Dawn genannt: Sie wird unter CVE-2026-5284 geführt und ebenfalls mit hohem Schweregrad bewertet. Anders als die Zero-Day-Lücke wurde dieser Fehler nach bisherigem Kenntnisstand jedoch nicht in freier Wildbahn ausgenutzt.
Dawn fungiert als Grafikschicht von Chrome. Bei einem Use-after-free-Fehler greift ein Programm auf Speicher zu, der bereits freigegeben wurde – ein Fehlertyp, der sich nach Einschätzung aus dem Umfeld häufig für einen Ausbruch aus der Sandbox oder die Ausführung beliebigen Codes eignet. Detaillierte Informationen zu den laufenden Angriffen auf CVE-2026-5281 hat Google bislang nicht veröffentlicht.
Alle 21 in der aktuellen Chrome-Version behobenen Schwachstellen wurden bereits im März gemeldet. Über die Höhe der Bug-Bounty-Prämien für die meldenden Forscher hat Google noch nicht entschieden.
Mit dem aktuellen Update steigt die Zahl der in diesem Jahr in Chrome geschlossenen Zero-Day-Lücken auf vier. Zuvor hatte Google bereits CVE-2026-2441, CVE-2026-3909 und CVE-2026-3910 behoben.
