Auf den Punkt: Die 429 behobenen Schwachstellen in Chrome 149 übersteigen die gesamten Patch-Zahlen des Jahres 2025 deutlich; KI-gestützte Code-Analyse treibt die Entdeckungsrate.
Google hat Chrome 149 freigegeben und behebt damit 429 Sicherheitslücken in einer einzelnen Aktualisierung – historischer Rekord für eine Chrome-Version. Über 100 der Fehler wurden als kritisch oder hochgradig eingestuft; zentrale Schwachstellen befinden sich in der ANGLE-Grafik-Engine.
Google hat Version 149 des Chrome-Browsers für den stabilen Kanal freigegeben und schließt 429 Sicherheitslücken – eine noch nie dagewesene Menge für ein einzelnes Update. Diese Zahl übersteigt bereits die Gesamtzahl aller im Jahr 2025 veröffentlichten Chrome-Patches um das Mehrfache. Der massive Anstieg wird hauptsächlich auf den intensiven Einsatz von künstlicher Intelligenz bei der Code-Analyse zurückgeführt; Google hatte bereits im April die Bug-Bounty-Prämien gesenkt.
Über 100 der Fehler wurden als kritisch oder hochgradig klassifiziert. Der Schwerpunkt liegt auf Use-after-free-Schwachstellen sowie unzureichender Validierung von nicht vertrauenswürdigen Eingabedaten. Die kritischste Lücke trägt die Kennung CVE-2026-10881 und erreicht einen CVSS-Wert von 9,6. Sie betrifft einen Fehler beim Lesen und Schreiben außerhalb der Puffergrenzen in der ANGLE-Grafik-Engine. Angreifer können diese Schwachstelle durch manipulierte HTML-Seiten ausnutzen, um die Chrome-Sandbox zu umgehen und Schadcode direkt auf dem Betriebssystem auszuführen. Google zahlte dem Sicherheitsforscher, der diesen Fehler meldete, 97.000 US-Dollar.
Zwei weitere kritische Fehler wurden ebenfalls extern gemeldet: CVE-2026-10882, eine Use-after-free-Schwachstelle im Netzwerkbereich (43.000 US-Dollar Prämie), und CVE-2026-10883, ein Out-of-bounds-Schreibfehler in ANGLE (5.000 US-Dollar). Die verbleibenden 19 kritischen Lücken stammen von Googles internem Sicherheitsteam. Von rund 90 hochpriorisierten Fehlern kamen nur zehn von Externe Forschern; über 300 mittlere und geringgradig bewertete Fehler stammten zum großen Teil aus internen Analysen.
Google zahlte insgesamt mindestens 208.000 US-Dollar an Bug-Bounty-Prämien aus; die tatsächliche Summe ist höher, da Belohnungen für über ein Dutzend Meldungen noch nicht öffentlich bekannt gegeben wurden. Chrome 149 wird in den Versionen 149.0.7827.53 und 149.0.7827.54 ausgerollt. CISOs sollten das Update prioritär in ihre Browser-Rollout-Prozesse aufnehmen, insbesondere wegen der Sandbox-Bypass-Anfälligkeit in CVE-2026-10881.
Quelle: www.it-daily.net · Erschienen 8. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.