Google hat am 29. April 2026 ein umfassendes Sicherheitsupdate für den Chrome-Browser veröffentlicht. Insgesamt 30 Schwachstellen wurden geschlossen, darunter mehrere kritische Zero-Day-Lücken. Die Angriffe zielen auf Chromium-basierte Browser ab – und betreffen damit Milliarden Nutzer weltweit.
Die jüngsten Patches adressieren vor allem gefährliche Speicherfehler, die es Angreifern ermöglichen, aus der Ferne Schadcode auszuführen oder Sicherheitsgrenzen zu umgehen. Da über drei Milliarden Nutzer auf Chromium-Engines setzen – darunter Microsoft Edge, Brave und Opera – gilt die schnelle Installation der Updates als dringend notwendig. Das gilt sowohl für Privatanwender als auch für Unternehmen.
Zero-Day-Lücken in Dawn und DevTools
Besonders brisant ist die Schwachstelle CVE-2026-5281 in Dawn, der Open-Source-Implementierung des WebGPU-Standards. Bereits Anfang April bestätigten Sicherheitsforscher, dass dieser Use-After-Free-Bug aktiv ausgenutzt wurde. Die Lücke erlaubt Angreifern, die bereits den Renderer-Prozess eines Browsers kompromittiert haben, über eine präparierte HTML-Seite Code auszuführen.
Während Browser-Updates die erste Verteidigungslinie bilden, fordern neue KI-gestützte Angriffstaktiken Unternehmen zu einer umfassenderen Sicherheitsstrategie heraus. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und digitalen Bedrohungen Unternehmer jetzt kennen müssen. Cyber Security Trends jetzt kostenlos lesen
Die US-Behörde CISA nahm die Schwachstelle am 1. April 2026 in ihren Katalog bekannter ausgenutzter Sicherheitslücken auf. Für Bundesbehörden wurde eine Frist bis Mitte April zur Behebung gesetzt. Die Gefahr ist besonders hoch, weil die Dawn-Komponente im gesamten Chromium-Ökosystem genutzt wird – auch in Microsoft Edge.
Ende April schloss Google zudem CVE-2026-6919, eine Schwachstelle in Chrome DevTools. Auch hier handelt es sich um einen Speicherfehler, der einen Sandbox-Escape ermöglicht. Angreifer könnten so aus der isolierten Browserumgebung ausbrechen und auf das Betriebssystem zugreifen.
Microsoft Edge und der zweitgrößte Patch-Dienstag aller Zeiten
Microsoft hat zeitgleich Updates für den Edge-Browser veröffentlicht. Am 27. April 2026 warnte das Unternehmen vor mehreren Schwachstellen und empfahl die Version 147.0.3912.86 oder höher. Die Patches adressierten dieselben kritischen Use-After-Free- und Out-of-Bounds-Read-Fehler im Chromium-Kern.
Die Browser-Updates fielen mit einem der umfangreichsten Sicherheitszyklen in der Geschichte von Microsoft zusammen. Am April-Patch-Dienstag 2026 schloss der Konzern insgesamt 167 Sicherheitslücken. Branchenbeobachter stellten fest, dass fast 60 dieser Schwachstellen browserbezogen waren. Das zeigt einen klaren Trend: Angreifer setzen zunehmend auf den Webbrowser als Einfallstor in Unternehmensnetzwerke.
Microsoft wies zudem auf den „erweiterten Sicherheitsmodus“ hin, der bestimmte Angriffe abwehren kann, indem er strengere Richtlinien für unbekannte Websites anwendet. Dennoch betont der Konzern: Manuelle oder automatische Updates bleiben der wichtigste Schutz gegen die aktuelle Welle von Zero-Day-Bedrohungen.
Speicherfehler dominieren die Bedrohungslage 2026
Use-After-Free- und Type-Confusion-Schwachstellen prägen weiterhin die Sicherheitslandschaft. Von den 30 Patches der letzten Aprilwoche waren vier als kritische Use-After-Free-Fehler eingestuft. Diese entstehen, wenn ein Programm weiterhin auf einen Speicherbereich zugreift, der bereits freigegeben wurde – ein Einfallstor für Angreifer.
Da Browser-Lücken auch mobile Endgeräte betreffen, ist ein gezielter Schutz für das Smartphone heute wichtiger denn je. IT-Experten empfehlen diese fünf konkreten Maßnahmen, um WhatsApp, Online-Banking und persönliche Daten auf Android-Geräten wirksam abzusichern. Gratis-PDF: 5 Schutzmaßnahmen für Ihr Smartphone sichern
Sicherheitsexperten vermuten, dass die steigende Zahl gemeldeter Schwachstellen mit dem Einsatz Künstlicher Intelligenz bei der Fehlersuche zusammenhängt. KI-gestützte Tools können komplexe Speicherfehler identifizieren, die früher schwer zu entdecken waren. Gleichzeitig wächst die Sorge, dass Angreifer ähnliche KI-Techniken nutzen, um neue Lücken schneller auszunutzen – bevor Patches alle Nutzer erreichen.
Google räumt ein, dass Updates zwar automatisch erfolgen, aber oft Tage oder Wochen brauchen, um alle Desktop- und Mobilgeräte zu erreichen. Sicherheitsexperten empfehlen daher, den Update-Prozess manuell über das Browser-Menü anzustoßen.
Ausblick: Chrome 148 soll weitere Härtung bringen
Bereits im ersten Quartal 2026 hat Google vier aktiv ausgenutzte Zero-Day-Lücken geschlossen – mehr als in manchen gesamten Vorjahren. Der Browser bleibt ein hart umkämpfter Raum zwischen Sicherheitsteams und globalen Angreifern.
Für Anfang Mai wird die Veröffentlichung von Chrome 148 erwartet. Die neue Version soll weitere architektonische Änderungen zum Schutz vor Speicherangriffen bringen. Unternehmen wird geraten, die Browserversionen aller Endgeräte zu prüfen und sicherzustellen, dass keine Geräte mehr auf den verwundbaren Versionen 146.x und frühen 147.x laufen.
Für optimalen Schutz sollten Windows- und macOS-Nutzer mindestens Chrome 147.0.7727.137 installieren, Linux-Nutzer ebenfalls Version 147.0.7727.137. Microsoft-Edge-Anwender benötigen mindestens Version 147.0.3912.87, um die identifizierten Lücken in den GPU- und DevTools-Komponenten zu schließen.
