Chrome 149: Google patcht 4 kritische Lücken mit Schweregrad 9,6
25.06.2026 - 17:15:30 | boerse-global.de
Der Suchmaschinenriese Google hat einen dringenden Sicherheitspatch für seinen Browser Chrome veröffentlicht. Vier der entdeckten Schwachstellen gelten als kritisch – sie könnten Angreifern die vollständige Kontrolle über das System ermöglichen.
Der Update, das am 25. Juni 2026 ausgerollt wurde, betrifft die Chrome-Version 149.0.7827.196/197 für Windows und Mac sowie Version 149.0.7827.196 für Linux. Nutzer sollten die Aktualisierung umgehend installieren, denn die Sicherheitslücken wiegen schwer.
Kritische Lücken in WebGL und Autofill
Von den 18 behobenen Sicherheitsproblemen stufen Experten vier als kritisch ein. Die Schwachstellen mit den Bezeichnungen CVE-2026-13028, CVE-2026-13032, CVE-2026-13033 und CVE-2026-13038 basieren vor allem auf sogenannten Use-after-Free-Fehlern (Nutzung nach Freigabe) sowie Out-of-Bounds-Reads (Lesen außerhalb des Speicherbereichs).
Besonders brisant: Die beiden Lücken im WebGL-Komponenten (CVE-2026-13028 und CVE-2026-13032) erreichen einen Schweregrad von 9,6 – nahe am Maximum. Sie ermöglichen es Angreifern, die Sicherheitssandbox des Browsers zu umgehen und Schadcode auszuführen. Weitere kritische Probleme fanden sich im Autofill-System und der Blink-Rendering-Engine.
Die übrigen 14 Schwachstellen stuft Google als hochriskant ein. Sie betreffen unter anderem die Grafikverarbeitung (GPU), Navigationssysteme, Entwicklerwerkzeuge und die Passwortverwaltung.
Allein in Deutschland werden pro Quartal Millionen Online-Konten gehackt – oft durch Sicherheitslücken in Browsern und schwache Passwörter. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten und Ihre Konten effektiv schützen. Passkeys: Die sichere Alternative zu Passwörtern jetzt gratis entdecken
Wer entdeckte die Lücken?
Die meisten Sicherheitslücken entdeckten Googles interne Sicherheitsteams. Eine Ausnahme bildet CVE-2026-13028: Diese kritische Schwachstelle meldete ein anonymer Forscher bereits Anfang Juni 2026. Bislang gibt es keine Hinweise darauf, dass die 18 spezifischen Lücken aktiv ausgenutzt wurden.
Doch die Bedrohungslage bleibt angespannt. Am selben Tag, an dem Google den Patch veröffentlichte, nahm die US-Cybersicherheitsbehörde CISA eine weitere Chrome-Schwachstelle (CVE-2026-11645) in ihren Katalog bekannter ausgenutzter Sicherheitslücken auf. Der Angriff zielte auf die V8-JavaScript-Engine ab.
Malware-Kampagnen über Browser-Erweiterungen
Der Notfall-Patch kommt zu einem Zeitpunkt, an dem Sicherheitsanalysten vermehrt raffinierte Malware-Kampagnen gegen Browser-Nutzer beobachten. Im Juni 2026 identifizierten Experten eine Kampagne, die schädliche Chrome-Erweiterungen nutzte, um PowerShell-Befehle auszuführen und sensible Daten wie Cookies und den Browserverlauf abzugreifen.
Parallel dazu berichteten Forscher über die Schadsoftware "Edgecution", die ebenfalls über bösartige Browser-Erweiterungen eine Hintertür installiert – offenbar im Zusammenhang mit Ransomware-Operationen. Die Angreifer setzen dabei auf Phishing-E-Mails oder geben sich über Kommunikationsplattformen als IT-Support aus, um Nutzer zur Installation der schädlichen Komponenten zu bewegen.
Wer noch Passwörter im Browser speichert oder auf einfache Zeichenfolgen setzt, geht angesichts der aktuellen Angriffswellen ein unnötiges Risiko ein. Ein gratis PDF-Ratgeber erklärt Ihnen Schritt für Schritt, wie Sie all Ihre Zugangsdaten sicher und verschlüsselt auf dem eigenen Computer verwalten. Kostenlosen Guide für sichere Passwort-Verwaltung anfordern
So schützen Sie sich
Google empfiehlt allen Nutzern, sofort auf die aktuelle Version zu aktualisieren. Der Update-Prozess ist einfach: Im Browser-Menü unter „Hilfe“ und „Über Google Chrome“ lässt sich die Version prüfen und das Update anstoßen. Ein Neustart des Browsers schließt den Vorgang ab.
Sicherheitsexperten betonen: Wer den Patch ignoriert, riskiert nicht nur Datenverlust, sondern auch die vollständige Kompromittierung seines Systems. Der Schutz der Browser-Sandbox und die Verhinderung unbefugter Code-Ausführung stehen dabei im Zentrum der Maßnahmen.
