Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 10.06.2026 · 3 min Lesezeit

Chrome Zero-Day CVE‑2026‑11645: 5. aktiv ausgenutzte V8-Lücke 2026 – sofort updaten

Google hat am 9. Juni 2026 ein Notfall-Update für Chrome veröffentlicht, das 74 Schwachstellen schließt – darunter den aktiv ausgenutzten Zero-Day CVE-2026-11645 in der V8-JavaScript-Engine. Es ist bereits der fünfte Chrome-Zero-Day des Jahres.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Gebrochenes Sicherheitsschild über Serverraum als Symbol für Microsoft Defender Zero-Day-Schwachstellen

Google hat am 9. Juni 2026 ein außerplanmäßiges Sicherheitsupdate für Chrome veröffentlicht, das insgesamt 74 Schwachstellen behebt. Im Mittelpunkt steht der Zero-Day CVE-2026-11645, ein Out-of-Bounds-Read/Write-Fehler in der V8-JavaScript-Engine mit einem CVSS-Score von 8.8 (High). Google bestätigte, dass ein funktionsfähiger Exploit in freier Wildbahn existiert und aktiv für Angriffe eingesetzt wird. CVE-2026-11645 ist bereits der fünfte Chrome-Zero-Day des Jahres 2026 – nach CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 und CVE-2026-5281.

Die Schwachstelle: Out-of-Bounds in V8

V8 ist die JavaScript-Engine, die Chrome für die Ausführung von Skripten auf Webseiten nutzt. Der als CVE-2026-11645 erfasste Fehler erlaubt es Angreifern, über eine manipulierte Webseite Speicher außerhalb der vorgesehenen Grenzen zu lesen und zu schreiben. Dadurch lässt sich im Browser-Sandbox-Kontext beliebiger Code ausführen – ohne dass Nutzer weitere Aktionen vornehmen müssen. Allein der Besuch einer präparierten Website genügt, um den Exploit auszulösen.

Neben CVE-2026-11645 schließt das Update 17 weitere als kritisch eingestufte Lücken sowie 55 Schwachstellen mit hohem Schweregrad und zwei mittlerer Einstufung. Für die Entdeckung und verantwortungsvolle Meldung von CVE-2026-11645 wurde dem Sicherheitsforscher mit dem Pseudonym 303f06e3 ein Bug-Bounty-Betrag von 55.000 US-Dollar ausgeschüttet.

Bin ich betroffen?

Betroffen sind alle Chrome-Versionen vor 149.0.7827.102 (Linux, Android) bzw. 149.0.7827.102/.103 (Windows, macOS). Das gilt für alle Desktop- und Android-Plattformen. Darüber hinaus sind voraussichtlich auch alle Chromium-basierten Browser – darunter Microsoft Edge, Brave und Opera – durch die zugrunde liegende V8-Schwachstelle gefährdet, solange diese kein entsprechendes Update eingespielt haben.

Die aktuell installierte Chrome-Version lässt sich unter Einstellungen > Über Google Chrome ablesen. Wird dort eine niedrigere Versionsnummer als 149.0.7827.102 angezeigt, ist das System verwundbar.

PlattformGepatchte Version
Windows / macOS149.0.7827.102 / 149.0.7827.103
Linux / Android149.0.7827.102

Wie behebe ich das?

Das Update steht über den integrierten Chrome-Updater bereit. Der Weg dorthin: Einstellungen > Über Google Chrome – Chrome prüft und installiert das Update automatisch. Anschließend ist ein Neustart des Browsers zwingend erforderlich, damit das Update wirksam wird. Wer Chrome im Hintergrund geöffnet lässt, bleibt bis zum Neustart ungeschützt.

Unter Linux lässt sich der Update-Stand zusätzlich über den Paketmanager prüfen. Unternehmensumgebungen, die Chrome über Gruppenrichtlinien oder MDM-Lösungen verwalten, sollten das Update über den etablierten Rollout-Prozess umgehend verteilen. Wer Chromium-basierte Browser wie Edge oder Brave einsetzt, sollte auch dort auf Sicherheitsupdates achten und diese unverzüglich einspielen.

Für Unternehmen, die Browser-Updates zentral über Windows Server steuern, bietet die Anleitung Windows Updates mit WSUS und Update for Business verwalten einen praxisnahen Einstieg in die strukturierte Patch-Verteilung.

Was bedeutet das für Unternehmen?

Ein aktiv ausgenutzter Browser-Zero-Day stellt für Unternehmen ein erhebliches Angriffsrisiko dar, weil potenziell jeder Mitarbeitende mit Internetzugang als Einfallstor dienen kann. Angreifer müssen lediglich dafür sorgen, dass betroffene Nutzer eine manipulierte Webseite aufrufen – etwa über Phishing-Mails oder kompromittierte Werbenetzwerke. Code-Ausführung im Browser-Kontext kann in Kombination mit weiteren Exploits zur vollständigen Kompromittierung eines Arbeitsplatzes führen.

Das Muster von fünf Zero-Days in rund sechs Monaten zeigt, dass Chrome als meistgenutzter Browser ein dauerhaftes Ziel intensiver Angreiferforschung ist. Patch-Management für Endnutzerbrowser sollte daher denselben Stellenwert haben wie Server-Patching. Wer noch kein strukturiertes Vorgehen für Sicherheitsvorfälle und erste Reaktionsmaßnahmen etabliert hat, findet im Artikel Ransomware-Notfallplan: Die ersten 60 Minuten eine praxisorientierte Grundlage.

Ergänzend empfiehlt sich die Einführung von Mehr-Faktor-Authentifizierung, um im Fall einer Browser-Kompromittierung den Schaden durch gestohlene Zugangsdaten zu begrenzen. Die Anleitung Zwei-Faktor-Authentifizierung und MFA im Unternehmen einführen beschreibt die notwendigen Schritte.

Quellen

  1. heise online: Jetzt updaten – Chrome-Update stopft attackierte Lücke und 73 weitere
  2. The Hacker News: Chrome V8 Zero-Day CVE-2026-11645 Exploited in the Wild – Patch Now
  3. BleepingComputer: Google patches fifth Chrome zero-day bug exploited in attacks this year
  4. The Register: Chrome's zero-day Whac-A-Mole continues with fifth exploited bug of the year
Verwandt

Weiter lesen

Alle Artikel →
Dashlane Breach Hero Visual mit aufgebrochenen Passwort-Tresoren und Cyberangriffs-Optik
10.06.2026 ·4 min

Dashlane-Einbruch: Angreifer stehlen fast 20 verschlüsselte Passwort-Tresore via 2FA-Brute-Force

Angreifer nutzten eine Brute-Force-Attacke gegen Dashlanes Geräteregistrierungs-API, um TOTP-basierte Zwei-Faktor-Codes zu erraten und verschlüsselte Passwort-Tresore von weniger als 20 Personal-Plan-Nutzern herunterzuladen – ein Weckruf für MFA-Implementierungen.
Illustration einer kritischen Check-Point-VPN-Sicherheitslücke mit Login- oder Remote-Access-Oberfläche, Warnsymbolen und roter Alarmmarkierung, die eine aktiv ausgenutzte Authentifizierungsumgehung seit Mai sowie den Bezug zu Qilin-Ransomware visualisier
09.06.2026 ·4 min

Check Point VPN: Kritische Authentifizierungsumgehung CVE-2026-50751 seit Mai aktiv ausgenutzt – Qilin-Ransomware involviert

Eine kritische Schwachstelle (CVE-2026-50751, CVSS 9.3) in Check Point Remote Access VPN erlaubt unauthentifizierten Angreifern, die Passwortprüfung vollständig zu umgehen. Aktive Ausnutzung läuft seit dem 7. Mai 2026 – mindestens ein Opfer wurde mit Qilin-Ransomware kompromittiert.
Illustration eines C0XMO-Botnets mit vielen kompromittierten Routern, die über rote Netzwerkverbindungen mit einem zentralen Steuergerät verbunden sind.
08.06.2026 ·4 min

C0XMO-Botnet befällt DD-WRT-Router und eliminiert Konkurrenz-Malware

Fortinet-Forscher haben eine neue Gafgyt-Variante namens C0XMO entdeckt, die über eine kritische Lücke in DD-WRT-Router-Firmware verbreitet wird – und kompromittierte Geräte aktiv von konkurrierender Botnet-Malware befreit, um Ressourcen exklusiv zu nutzen.