Google Chrome 149: Rekordhaftes Sicherheitsupdate schließt 429 Schwachstellen
Google hat Chrome 149 am 2. Juni 2026 mit einem historisch umfangreichen Sicherheitsupdate veröffentlicht: 429 Schwachstellen wurden behoben, darunter 22 kritische – mehr als je zuvor in einem einzigen Browser-Update. Sofortiges Aktualisieren wird dringend empfohlen.
Google hat am 2. Juni 2026 Chrome 149 für Windows, macOS und Linux veröffentlicht – und damit einen neuen Rekord gesetzt: Insgesamt 429 Sicherheitslücken wurden in einem einzigen Update behoben, mehr als in der gesamten Release-Jahresreihe 2025 zusammen. Darunter befinden sich 22 als kritisch eingestufte Schwachstellen sowie über 100 Lücken mit hohem Schweregrad. Aktive Ausnutzung war zum Veröffentlichungszeitpunkt nicht bekannt.
Die Schwachstellen im Detail
Die schwerwiegendste Lücke trägt die Kennung CVE-2026-10881 und erreicht einen CVSS-Score von 9,6 von 10. Es handelt sich um einen Out-of-bounds-Fehler in der ANGLE-Grafikschnittstelle, die Chrome für die Darstellung von WebGL-Inhalten nutzt. Über diesen Fehler könnten Angreifer die Sandbox des Browsers umgehen und beliebigen Code auf dem betroffenen System ausführen – ausgelöst allein durch den Besuch einer präparierten Webseite. Für die Meldung dieser Lücke zahlte Google eine Bug-Bounty-Prämie von 97.000 US-Dollar, der höchsten Einzelprämie dieses Updates.
Insgesamt schüttete Google im Rahmen dieses Releases rund 208.000 US-Dollar an Sicherheitsforschende aus. Die massive Zahl an Befunden führen Fachleute primär auf den verstärkten Einsatz KI-gestützter Fuzzing-Werkzeuge zurück, die Schwachstellen systematisch und in großem Umfang aufspüren können.
Bin ich betroffen?
Betroffen sind alle Google-Chrome-Versionen vor den folgenden Ständen:
| Betriebssystem | Betroffen (vor) | Sichere Version |
|---|---|---|
| Windows | 149.0.7827.53/54 | 149.0.7827.54 |
| macOS | 149.0.7827.53/54 | 149.0.7827.54 |
| Linux | 149.0.7827.53 | 149.0.7827.53 |
Die installierte Chrome-Version lässt sich über die Adressleiste mit dem Befehl chrome://settings/help prüfen. Dort wird auch automatisch ein verfügbares Update angezeigt.
Wie lässt sich das beheben?
Das Update steht über den integrierten Chrome-Updater bereit. Der Weg dorthin führt über das Chrome-Menü (drei Punkte oben rechts) → Hilfe → Über Google Chrome. Chrome sucht dann selbstständig nach Updates und installiert diese. Anschließend ist ein Neustart des Browsers erforderlich, damit die neue Version aktiv wird.
Für Unternehmensumgebungen, in denen Chrome über Gruppenrichtlinien oder ein Mobile Device Management verwaltet wird, sollte das Update über die jeweiligen Verwaltungswerkzeuge zeitnah ausgerollt werden. Grundlegendes zur Verwaltung von Windows-Updates im Unternehmensumfeld beschreibt die Anleitung Windows-Updates mit WSUS und Update for Business einrichten.
Was bedeutet das für Unternehmen?
Obwohl zum Zeitpunkt der Veröffentlichung keine aktive Ausnutzung der Schwachstellen gemeldet wurde, ist die Risikolage angesichts des Umfangs und der Schwere der gefundenen Lücken als erhöht einzustufen. Ein ungepatchter Chrome-Browser kann allein durch den Besuch einer präparierten Webseite zur Eintrittspforte für Angreifer werden – ohne weiteres Zutun der Nutzenden.
Besondere Priorität sollte CVE-2026-10881 haben: Ein erfolgreicher Sandbox-Escape ermöglicht es, Code mit den Rechten des angemeldeten Benutzers auszuführen. In Umgebungen, in denen Mitarbeitende mit erhöhten Berechtigungen arbeiten oder sensible Systeme erreichbar sind, ist das Risikopotenzial entsprechend hoch.
Da Chrome in den meisten Unternehmen als Standard-Browser eingesetzt wird, sollte das Update als dringlich eingestuft und innerhalb von 24 bis 48 Stunden ausgerollt werden. Ergänzend empfiehlt sich eine Überprüfung, ob auf allen verwalteten Endgeräten automatische Browser-Updates aktiv sind. Zur Stärkung der allgemeinen Sicherheitshygiene bietet sich auch ein Blick auf die Anleitung zur Einführung von Zwei-Faktor-Authentifizierung an, um das Schadenspotenzial bei einer möglichen Kompromittierung zu begrenzen.
Der deutliche Anstieg der gefundenen Schwachstellen ist zugleich ein Signal für die Branche: KI-gestützte Fuzzing-Werkzeuge verändern die Bedrohungslandschaft nachhaltig – nicht nur, weil Angreifer sie einsetzen könnten, sondern auch, weil Sicherheitsforschende damit Schwachstellen früher und umfassender aufdecken. Dieser Effekt dürfte künftige Update-Zyklen weiter prägen.
Quellen: SecurityWeek: Chrome 149 Patches 429 Vulnerabilities | PCWorld: Chrome 149 fixes 429 security flaws, the most ever in one update | The Hacker News: AI Agent Uncovers 21 Zero-Days in FFmpeg; Chrome Patches Record 429 Bugs
