Folgen 
Google hat Notfallupdates für Chrome veröffentlicht, um eine Chrome-Zero-Day-Schwachstelle, ein hochkritisches Out-of-Bounds-Lese-/Schreibproblem in der JavaScript-Engine V8 zu beheben. Google sagt, dass ein Exploit in freier Wildbahn existiert, und die gepatchten stabilen Versionen werden ausgerollt als 149.0.7827.102.103 für Windows und Mac and 149.0.7827.102 für Linux.
Öffentliche Berichte sagen, dass der Fehler durch eine speziell gestaltete HTML-Seite ausgelöst werden kann und es einem entfernten Angreifer ermöglichen könnte, beliebigen Code innerhalb der Sandbox des Browsers auszuführen. SecurityWeek fügt hinzu, dass der Bug der fünfte Chrome-Zero-Day-Exploit im Jahr 2026 ist, nach CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 und CVE-2026-5281.
Die wichtigsten Details zu CVE-2026-11645 sind immer noch begrenzt, da Google die Fehlerdetails eingeschränkt hat, während Updates verbreitet werden. Das Unternehmen sagt, die Schwachstelle wurde Ende April 2026 von einem anonymen Forscher gemeldet, und SecurityWeek berichtet, dass der Forscher eine Belohnung von 55.000 $ erhalten hat.
Analyse von CVE-2026-11645
For Analyse von CVE-2026-11645, die bestätigte öffentliche Beschreibung bleibt eng gefasst: Google listet das Problem als „Out-of-Bounds-Speicherzugriff in V8“ , während BleepingComputer und SecurityWeek es als ein Out-of-Bounds-Lese-/Schreibproblem beschreiben. Praktisch bedeutet dies, dass bösartiger Webinhalt die Engine über die vorgesehenen Grenzen des Speichers hinausdrücken kann, was sensible Daten offenlegen, den Browser abstürzen lassen oder einen Weg zur Codeausführung innerhalb der Sandbox schaffen kann.
Aus der Perspektive der Exposition betrifft CVE-2026-11645 Chrome-Desktop-Nutzer, die noch nicht auf die gepatchte Version 149 aktualisiert haben. BleepingComputer merkt an, dass eine erfolgreiche Ausnutzung zu Heap-Korruption und unautorisiertem Zugriff über das vorgesehene Speicherpuffer hinaus führen kann. Außerdem könnte der Fehler Angreifern helfen, Schutzmechanismen wie ASLR zu umgehen, was eine zweite Schwachstelle einfacher zu bewaffnen machen könnte.
Zum Zeitpunkt des Schreibens gibt es keine öffentliche CVE-2026-11645 PoC in den zitierten Quellen, und Google hat keine technischen Exploits-Details oder Opferdetails offengelegt. SecurityWeek merkt an, dass keine Informationen über die Angriffe verfügbar sind, obwohl es sagt, dass der Zero-Day wahrscheinlich mit einem Sandbox-Escape-Fehler in der realen Welt kombiniert wurde.
CVE-2026-11645 Minderung
Der sofortige Schritt zur Minderung von CVE-2026-11645 besteht darin, Chrome auf die gepatchten stabilen Versionen zu aktualisieren, die Google am 8. Juni 2026 veröffentlicht hat. Benutzer, die nicht manuell aktualisieren, erhalten das Update normalerweise automatisch beim nächsten Browserneustart, aber Google sagt, dass der Rollout Tage oder Wochen dauern kann, um vollständig alle Nutzer zu erreichen.
Für Verteidiger Erkennung of von CVE-2026-11645 ist begrenzt, da Google absichtlich tiefere technische Informationen vorenthalten hat, und es gibt keine veröffentlichten IOCs im Zusammenhang mit der Ausnutzung von von CVE-2026-11645 in den zitierten Berichten. In der Praxis sollten Teams CVE-2026-11645 Exposition erkennen , indem sie unverwaltete oder veraltete Chrome-Installationen identifizieren, hochrisikogruppen priorisieren und bestätigen, dass Unternehmensflotten die gepatchten 149-Versionen erreicht haben.
FAQ
Was ist CVE-2026-11645 und wie funktioniert es?
CVE-2026-11645 ist ein hochkritischer Speichersicherheitsfehler in der Chrome V8-Engine. Google beschreibt es als Out-of-Bounds-Speicherzugriff in V8, und öffentliche Berichte sagen, dass ein entfernter Angreifer eine speziell gestaltete HTML-Seite nutzen kann, um den Fehler auszulösen und möglicherweise Code innerhalb der Browsersandbox auszuführen.
Wann wurde CVE-2026-11645 erstmals entdeckt?
Die öffentlichen Quellen geben kein privates Entdeckungsdatum an, aber die Google-Warnung und SecurityWeek sagen, dass das Problem Ende April 2026 von einem anonymen Forscher gemeldet wurde. Google verkündete den Fix am 8. Juni 2026, und Medienspekulationen folgten am 9. Juni 2026.
Was ist die Auswirkung von CVE-2026-11645 auf Systeme?
Die Hauptauswirkung ist Speicherkorruption im Browserprozess. Öffentliche Berichte sagen, dass die Ausnutzung Speicher außerhalb des vorgesehenen Puffers offenlegen, Abstürze auslösen und möglicherweise die Ausführung von beliebigem Code innerhalb der Chrome-Sandbox unterstützen kann.
Kann CVE-2026-11645 mich noch im Jahr 2026 betreffen?
Ja. Systeme können noch 2026 exponiert sein, wenn sie weiterhin ungepatchte Chrome-Desktopversionen ausführen und Benutzer bösartige Webinhalte besuchen, bevor das Update angewendet wird. Google sagt ausdrücklich, dass ein Exploit in freier Wildbahn existiert.
Wie kann ich mich vor CVE-2026-11645 schützen?
Aktualisieren Sie Chrome sofort auf die neueste stabile Version, starten Sie den Browser neu, um sicherzustellen, dass der Patch angewendet wird, und verifizieren Sie, dass verwaltete Endpunkte keine älteren Versionen mehr ausführen. Da Google technische Details eingeschränkt hat, ist schnelles Patchen die zuverlässigste Verteidigung.
