Google, Microsoft und Brave haben innerhalb weniger Tage Notfall-Updates für ihre Chromium-basierten Browser veröffentlicht. Die Patches schließen mehr als 150 Sicherheitslücken – darunter 22 als kritisch eingestufte Schwachstellen.
Die Update-Welle begann am 27. Mai und erreichte am heutigen Freitag ihren Höhepunkt. Betroffen sind Google Chrome, Microsoft Edge und Brave. Die Schwachstellen ermöglichen Angreifern unter anderem die ferngesteuerte Ausführung von Schadcode und den Diebstahl sensibler Nutzerdaten.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Cyber-Security-Report jetzt herunterladen
Google Chrome: 151 Schwachstellen geschlossen
Google veröffentlichte am 29. Mai die Chrome-Version 148.0.7778.216/.217 für Windows sowie die Versionen 148.0.7778.215/.216 für macOS und Linux. Insgesamt 151 Sicherheitslücken wurden behoben, 22 davon als kritisch eingestuft.
Besonders schwerwiegend sind die Schwachstellen CVE-2026-9872, CVE-2026-9873, CVE-2026-9874 und CVE-2026-9875. Sie betreffen zentrale Komponenten wie die GPU, das Netzwerk, Dawn und WebGL.
Ein Teil der Lücken wurde durch interne automatisierte Tests entdeckt, andere von externen Sicherheitsforschern gemeldet. Der Forscher Cinzinga kassierte für zwei kritische Meldungen 86.000 US-Dollar (rund 80.000 Euro) Prämie. Weitere Belohnungen erreichten bis zu 43.000 Dollar. Positiv: Google bestätigte, dass zum Zeitpunkt der Veröffentlichung keine aktive Ausnutzung der Lücken bekannt war.
Brave und Microsoft Edge: Das Problem mit den persistenten Skripten
Brave und Microsoft zogen am 29. Mai nach. Brave 1.90.128 für Desktop und Microsoft Edge Stable 148.0.3967.96 integrieren die aktuellen Chromium-Patches.
Im Fokus steht eine Schwachstelle in der Background Fetch API. Sie erlaubte es Angreifern, schädliche Skripte selbst nach einem Browser-Neustart versteckt weiterlaufen zu lassen. Sicherheitsexperten warnen vor möglichen Folgen: dauerhaftes Nutzer-Tracking, DDoS-Angriffe oder unbefugte Code-Ausführung.
Brave betont, dass die iOS-Version nicht betroffen ist – sie basiert nicht auf Chromium. Die Android-Version durchläuft derzeit die Prüfung im Google Play Store.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulationstaktiken schützen kann. Gratis Anti-Phishing-Paket für Unternehmen sichern
Indische Behörde warnt vor Datenklau
Das indische Computer-Notfallteam CERT-In stufte die Bedrohung am 28. Mai als hochriskant ein und forderte Nutzer zum sofortigen Update auf. Die Behörde warnte, Angreifer könnten über die Lücken Passwörter, Bankdaten und Cookies stehlen oder Browser zum Absturz bringen.
Erst Mitte Mai hatte Google eine weitere kritische Lücke geschlossen: CVE-2026-8509 – ein Heap-Buffer-Overflow in Chrome WebML. Auch diese Schwachstelle erlaubte die ferngesteuerte Code-Ausführung über präparierte HTML-Seiten. Besonders Unternehmen mit regulierten Daten wurden damals aufgefordert, auf Version 148.0.7778.168 oder neuer zu aktualisieren.
Neue Angriffsvektoren: Infostealer und Seitenkanal-Attacken
Die aktuellen Patches kommen zu einer Zeit, in der die Bedrohungslage für Browserdaten insgesamt steigt. Bereits im Frühjahr entdeckten Sicherheitsfirmen eine Kampagne, die eine kritische Lücke in FortiClient EMS ausnutzte, um den EKZ-Infostealer zu verbreiten – eine Schadsoftware, die speziell auf Browser-Zugangsdaten abzielt.
Forscher der TU Graz präsentierten zudem einen neuen Seitenkanal-Angriff namens FROST. Die am 28. Mai veröffentlichte Methode nutzt SSD-Timing und die OPFS-API, um besuchte Webseiten und aktive Anwendungen mit hoher Genauigkeit zu identifizieren. Google stuft solche Fingerprinting-Techniken derzeit als Datenschutzproblem ein – nicht als direkte Sicherheitslücke. Die Entdeckung zeigt jedoch, vor welchen Herausforderungen Browser-Entwickler beim Schutz der Privatsphäre stehen.
