Moin Leute, ich hab mir gestern fast den Kaffee verschüttet, als ich die Zahlen gesehen habe: 429 Sicherheitslücken hat Google mit dem aktuellen Chrome 149 Update geschlossen. Das ist nicht nur ein neuer Rekord – das ist ein kompletter Paradigmenwechsel in der Browser-Sicherheit. Und dahinter steckt eine Geschichte, die wir uns genauer anschauen müssen.
Ein Update, das alles übertrifft
Am 2. Juni hat Google Chrome 149 in den Stable Channel geschoben – und damit mehr Lücken gefixt als im gesamten Jahr 2025 zusammen. Ihr habt richtig gelesen: Ein einzelnes Update übertrumpft zwölf Monate Sicherheitsarbeit.
Die neuen Versionsnummern lauten 149.0.7827.53/54 für Windows und macOS sowie 149.0.7827.53 für Linux. Chrome für Android wurde ebenfalls mit Version 149.0.7827.59 aktualisiert. Falls ihr Chrome offen habt: Schließt diesen Artikel nach dem Lesen und checkt unter Hilfe → Über Google Chrome, ob ihr schon auf dem neuesten Stand seid.
22 kritische Lücken – darunter ein echter Brocken
Von den 429 Schwachstellen sind über 100 als kritisch oder hochriskant eingestuft. Allein 22 davon tragen das Label ‚Critical‘. Die gefährlichste ist CVE-2026-10881 mit einem CVSS-Score von 9.6 – das ist nah am Maximum.
Diese Lücke betrifft die ANGLE-Grafikbibliothek, die Chrome für OpenGL-Rendering nutzt. Ein Angreifer könnte über eine präparierte Website den Browser-Sandbox komplett umgehen und potenziell Code auf eurem Betriebssystem ausführen. Der externe Sicherheitsforscher, der das gemeldet hat, bekam dafür satte 97.000 Dollar Bug Bounty.
Die meisten Schwachstellen sind sogenannte Use-After-Free (UAF) Bugs – ein klassisches Problem bei Sprachen wie C und C++. Dabei greift das Programm auf Speicherbereiche zu, die eigentlich schon freigegeben wurden. Das klingt abstrakt, ist aber ein gefundenes Fressen für Hacker.
Warum plötzlich so viele Lücken? Die KI-Revolution
Hier wird es interessant: Google hat 371 der 429 Schwachstellen selbst entdeckt – nur 58 kamen von externen Forschern. Das ist ein kompletter Umschwung. Noch vor wenigen Monaten war das Verhältnis umgekehrt.
Der Grund: Google setzt massiv auf KI-gestützte Sicherheitstools. Tools wie Big Sleep und das neue CodeMender durchforsten den Chrome-Code automatisiert nach Schwachstellen – und zwar mit einer Effizienz, die menschliche Researcher schlicht nicht erreichen können.
CodeMender ist dabei besonders spannend: Ein von DeepMind entwickelter KI-Agent, der Lücken nicht nur findet, sondern auch gleich Fixes vorschlägt, diese testet und mit Genehmigung automatisch einspielt. Die Ironie: Google hat im April sogar die Bug Bounties für Chrome gesenkt – weil die eigene KI schneller Lücken findet als externe Forscher sie melden können.
Was bedeutet das für andere Browser?
Chrome ist nicht allein betroffen. Alle Chromium-basierten Browser müssen nachziehen: Microsoft Edge, Brave, Opera, Vivaldi – sie alle nutzen dieselbe Engine. Edge hat bereits reagiert und die Fixes in Version 149.0.4022.52 übernommen.
Wer Firefox nutzt, kann übrigens aufatmen – zumindest was diese spezifischen Lücken betrifft. Mozilla hat eine eigene Codebasis. Allerdings kämpft auch Firefox mit dem UAF-Problem, weil dort noch Millionen Zeilen Legacy-C-Code schlummern.
Die gute Nachricht: Laut Google wird aktuell keine der 429 Lücken aktiv ausgenutzt. Aber das kann sich schnell ändern. Mit der Veröffentlichung des Patches wissen jetzt auch Angreifer, wo die Schwachstellen lagen.
Fazit: Update jetzt, fragen später
Ich mache keine Übertreibung, wenn ich sage: Das ist eines der wichtigsten Chrome-Updates überhaupt. 22 kritische Lücken, von denen jede einzelne für einen Sandbox-Escape ausreichen könnte – das ist kein Spaß.
Meine persönliche Einschätzung: Wir erleben gerade den Anfang einer neuen Ära der Software-Sicherheit. KI findet Bugs schneller als Menschen sie schreiben können. Das ist gleichzeitig beruhigend und beunruhigend. Beruhigend, weil Verteidiger jetzt mächtige Werkzeuge haben. Beunruhigend, weil dieselbe Technologie auch in die Hände von Angreifern gelangen wird.
Also: Chrome öffnen, updaten, Browser neu starten. Die zwei Minuten sind gut investiert.
Bis zum nächsten Mal,
Euer Dario
Kommentar verfassen