Die Sicherheitslücke in Google Chrome (CVE-2026-3545) beruht auf unzureichender Datenvalidierung im Navigationssystem. Dadurch können manipulierte Daten auf einer schädlichen HTML-Seite vom Browser nicht überprüft werden.

Besucht ein Nutzer eine solche Seite, kann ein Angreifer diese Schwachstelle ausnutzen, um die Browser-Sandbox zu umgehen – einen der wichtigsten Sicherheitsmechanismen von Chrome.

Die Sandbox soll verhindern, dass Webinhalte direkt auf das Betriebssystem oder andere Browserprozesse zugreifen. 

Durch das Durchbrechen dieser Barriere kann ein Angreifer fortgeschrittenere Aktionen auf dem System des Opfers durchführen.

Ein Angreifer kann eine speziell präparierte Seite mit manipuliertem HTML- oder JavaScript-Code erstellen, die die Navigations-Engine von Chrome dazu veranlasst, nicht ordnungsgemäß validierte Informationen zu verarbeiten.
Aufgrund dieser unvollständigen Validierung kann der Browser beim Verarbeiten solcher Daten in einen intern inkonsistenten Zustand geraten.

Dadurch kann der Angreifer die Sandbox umgehen und die Isolationsbarriere überwinden, die das System normalerweise vor nicht vertrauenswürdigen Webinhalten schützt.

Sobald der Schadcode die geschützte Umgebung des Renderers verlässt, kann er mit Browserprozessen mit höheren Berechtigungen kommunizieren, beispielsweise mit dem Hauptprozess, der für die Benutzeroberfläche und die Ressourcenverwaltung zuständig ist.

Dieser Schritt ist besonders kritisch, da er einen der grundlegenden Sicherheitsmechanismen des Browsers außer Kraft setzt.

In einem realen Angriffsszenario könnte die Ausnutzung erfolgen, wenn das Opfer eine schädliche Website besucht, sei es über einen Phishing-Link, bösartige Werbung oder manipulierte Weiterleitungen.
 

Empfehlungen

• Aktualisieren Sie Google Chrome auf Version 145.0.7632.159 oder höher.
• Aktivieren Sie automatische Browser-Updates.