2026-1256: Google Chrome, Chromium, Chromium Embedded Framework, Microsoft Edge: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2026-04-01 15:11)
- Neues Advisory
- Version 2 (2026-04-02 07:59)
- Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2026-5281 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.
- Version 3 (2026-04-02 16:31)
- Für openSUSE Backports SLE 15 SP6 und 15 SP7 stehen Sicherheitsupdates für 'chromium' bereit, um die 21 Schwachstellen zu beheben.
- Version 4 (2026-04-07 07:02)
- Microsoft stellt die Microsoft Edge Version 146.0.3856.97, basierend auf der Chromium Version 146.0.7680.177/178, als Sicherheitsupdate bereit und weist darauf hin, dass ein Exploit für die Schwachstelle CVE-2026-5281 öffentlich bekannt ist.
- Version 5 (2026-04-07 08:06)
- Für openSUSE Leap 16.0 steht ein Sicherheitsupdate für 'chromium' bereit, um 21 Schwachstellen zu beheben. Für Debian 12 Bookworm (oldstable) steht Version 146.0.7680.177-1~deb12u1 und für Debian 13 Trixie (stable) steht Version 146.0.7680.177-1~deb13u1 von 'chromium' bereit, um die 21 Schwachstellen zu beheben. Und für Fedora 42 steht das Paket 'chromium-146.0.7680.177-1' im Status 'testing' bereit und für Fedora 43 sowie Fedora EPEL 9, 10.1, 10.2 und 10.3 steht das Paket 'chromium-146.0.7680.177-1' im Status 'stable' bereit, um die 21 Schwachstellen zu beheben.
- Version 6 (2026-04-13 07:47)
- Für Fedora 42 steht als neues Sicherheitsupdate das Paket 'chromium-147.0.7727.55-1' im Status 'testing' bereit, um insgesamt 81 Schwachstellen zu beheben. Dieses ersetzt das vorherige Update FEDORA-2026-2b2e6a12de (Fedora 42, chromium-146.0.7680.177-1.fc42), welches in den Status 'obsolete' versetzt wurde (Referenz hier entfernt) und adressiert weitere Schwachstellen, die mit der neueren Chromium Version 147.0.7727.55 behoben wurden (siehe gesondertes Advisory).
- Version 7 (2026-04-16 09:05)
- Für Fedora 42 und 43 steht das Paket 'cef-146.0.11^chromium146.0.7680.177-2' im Status 'stable' bereit, um 21 Schwachstellen zu beheben.
Betroffene Software
Entwicklung
Office
Systemsoftware
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und nicht spezifizierte Angriffe durchzuführen.
Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers.
Zur Behebung der referenzierten Schwachstellen veröffentlicht Google die Chrome Version 146.0.7680.177 für Linux sowie die Versionen 146.0.7680.177/178 für Windows und macOS. Die neuen Versionen sollen in den nächsten Tagen bzw. Wochen ausgerollt werden.
Darüber hinaus kündigt Google an, Chrome 146.0.76380.177 für Android innerhalb der nächsten Tage über Google Play zur Verfügung zu stellen und weist darauf hin, dass mit dem Release die gleichen Schwachstellen behoben werden, wie für das hier referenzierte Desktop Release.
Zudem informiert Google darüber, dass Exploits für die Schwachstelle CVE-2026-5281 öffentlich bekannt sind.
Wie üblich stellt Google derzeit nur wenig Informationen zu den Schwachstellen bereit und wartet mit der Veröffentlichung weiterer Informationen darauf, dass ein Großteil der Benutzer das Update auf die neue Version vollzogen hat.
Schwachstellen:
CVE-2026-5272
Schwachstelle in Chromium und Google Chrome GPU ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5273
Schwachstelle in Chromium und Google Chrome CSS ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5274
Schwachstelle in Chromium und Google Chrome Codecs ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5275
Schwachstelle in Chromium und Google Chrome ANGLE ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5276
Schwachstelle in Chromium und Google Chrome WebUSB ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2026-5277
Schwachstelle in Chromium und Google Chrome ANGLE ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5278
Schwachstelle in Chromium und Google Chrome Web MIDI ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5279
Schwachstelle in Chromium und Google Chrome V8 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5280
Schwachstelle in Chromium und Google Chrome WebCodecs ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5281 CVE-2026-5284 CVE-2026-5286
Schwachstellen in Chromium und Google Chrome Dawn ermöglichen Ausführen beliebigen ProgrammcodesCVE-2026-5282
Schwachstelle in Chromium und Google Chrome WebCodecs ermöglicht Ausspähen von InformationenCVE-2026-5283
Schwachstelle in Chromium und Google Chrome ANGLE ermöglicht nicht spezifizierte AngriffeCVE-2026-5285
Schwachstelle in Chromium und Google Chrome WebGL ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5287
Schwachstelle in Chromium und Google Chrome PDF ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5288
Schwachstelle in Chromium und Google Chrome WebView ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5289
Schwachstelle in Chromium und Google Chrome Navigation ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5290
Schwachstelle in Chromium und Google Chrome Compositing ermöglicht Ausführen beliebigen ProgrammcodesCVE-2026-5291
Schwachstelle in Chromium und Google Chrome WebGL ermöglicht Ausspähen von InformationenCVE-2026-5292
Schwachstelle in Chromium und Google Chrome WebCodecs ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.