2026-1038: Google Chrome, Chromium, Microsoft Edge: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2026-03-20 12:07)
- Neues Advisory
- Version 2 (2026-03-23 10:09)
- Für Debian 12 Bookworm (oldstable) steht Version 146.0.7680.153-1~deb12u1 und für Debian 13 Trixie (stable) steht Version 146.0.7680.153-1~deb13u1 von 'chromium' bereit, um die aufgeführten Schwachstellen zu beheben. Für openSUSE Backports SLE 15 SP6 steht ebenfalls Sicherheitsupdate für 'chromium' zur Behebung der Schwachstellen zur Verfügung.
- Version 3 (2026-03-24 10:10)
- Microsoft stellt die Microsoft Edge Version 146.0.3856.72, basierend auf der Chromium Version 146.0.7680.154, als Sicherheitsupdate zur Verfügung.
- Version 4 (2026-03-24 10:57)
- Für Fedora 42 und 43 stehen Sicherheitsupdates in Form von 'chromium-146.0.7680.153-1'-Paketen im Status 'testing' zur Behebung der aufgeführten Schwachstellen zur Verfügung.
- Version 5 (2026-03-25 09:27)
- Für Fedora EPEL 9, 10.1, 10.2 und 10.3 stehen Sicherheitsupdates in Form von 'chromium-146.0.7680.153-1'-Paketen zur Behebung der aufgeführten Schwachstellen zur Verfügung. Die Pakete für EPEL 9 und 10.1 befinden sich im Status 'testing', die anderen beiden Pakete befinden sich bereits im Status 'stable'.
- Version 6 (2026-03-30 08:24)
- Für openSUSE Leap 16.0 steht ein Sicherheitsupdate für 'chromium' auf das Chromium 146.0.7680.153 Release bereit, um die 26 Schwachstellen zu beheben.
Betroffene Software
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.
Wie üblich, stellt Google derzeit nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf eine fehlerbereinigte Version vollzogen hat. Von den 26 gefundenen Schwachstellen bewertet Google die Kritikalität von dreien mit 'Critical' (CVE-2026-4439, CVE-2026-4440 und CVE-2026-4441) und von 22 weiteren mit 'High'. Die verbleibende Schwachstelle wird als 'Medium' eingestuft.
Zur Behebung der Schwachstellen stellt Google die Chrome Version 146.0.7680.153 für Linux sowie 146.0.7680.153/154 für Windows und macOS zur Verfügung. Die neuen Versionen sollen in den nächsten Tagen bzw. Wochen ausgerollt werden.
Zur Behebung der Schwachstellen sowie der Umsetzung von Stabilitäts- und Performance-Verbesserungen stellt Google die Chrome Version 146.0.76380.153 für Android bereit. Diese Chrome Version soll in den nächsten Tagen über Google Play verfügbar sein.
Weiterhin steht die Chrome Version 146.0.7680.151 für iOS über den App Store bereit, welche Stabilitäts- und Performance-Verbesserungen umfasst.
Schwachstellen:
CVE-2026-4439
Schwachstelle in Chromium und Google Chrome WebGL ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4440
Schwachstelle in Chromium und Google Chrome WebGL ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4441
Schwachstelle in Chromium und Google Chrome Base ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4442
Schwachstelle in Chromium und Google Chrome CSS ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4443
Schwachstelle in Chromium und Google Chrome WebAudio ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4444
Schwachstelle in Chromium und Google Chrome WebRTC ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4445
Schwachstelle in Chromium und Google Chrome WebRTC ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4446
Schwachstelle in Chromium und Google Chrome WebRTC ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4447
Schwachstelle in Chromium und Google Chrome V8 ermöglicht nicht spezifizierte AngriffeCVE-2026-4448
Schwachstelle in Chromium und Google Chrome ANGLE ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4449
Schwachstelle in Chromium und Google Chrome Blink ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4450
Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4451
Schwachstelle in Chromium und Google Chrome Navigation ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2026-4452
Schwachstelle in Chromium und Google Chrome ANGLE ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4453
Schwachstelle in Chromium und Google Chrome Dawn ermöglicht Ausspähen von InformationenCVE-2026-4454
Schwachstelle in Chromium und Google Chrome Network ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4455
Schwachstelle in Chromium und Google Chrome PDFium ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4456
Schwachstelle in Chromium und Google Chrome Digital Credentials API ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4457
Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4458
Schwachstelle in Chromium und Google Chrome Extensions ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4459
Schwachstelle in Chromium und Google Chrome WebAudio ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4460
Schwachstelle in Chromium und Google Chrome Skia ermöglicht Ausspähen von InformationenCVE-2026-4461
Schwachstelle in Chromium und Google Chrome V8 ermöglicht nicht spezifizierte AngriffeCVE-2026-4462
Schwachstelle in Chromium und Google Chrome Blink ermöglicht Ausspähen von InformationenCVE-2026-4463
Schwachstelle in Chromium und Google Chrome WebRTC ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-4464
Schwachstelle in Chromium und Google Chrome ANGLE ermöglicht nicht spezifizierte Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.