„`html
Zusammenfassung
CVE-2026-9111 ist eine kritische Use-after-Free-Schwachstelle in der WebRTC-Implementierung von Google Chrome unter Linux. Ein entfernter Angreifer kann durch eine speziell präparierte HTML-Seite beliebigen Code mit den Rechten des Chrome-Prozesses ausführen. Die Sicherheitslücke betrifft Chrome-Versionen vor 148.0.7778.179.
Betroffene Systeme
Die Schwachstelle betrifft:
- Google Chrome auf Linux (Versionen vor 148.0.7778.179)
- Chromium-basierte Browser auf Linux-Systemen
- Systeme mit aktivierter WebRTC-Funktionalität
Windows- und macOS-Versionen sind nach aktuellem Stand nicht betroffen.
Technische Details
Die Schwachstelle liegt in der Speicherverwaltung der WebRTC-Komponente. Ein Use-after-Free-Fehler ermöglicht es, auf bereits freigegebene Speicherbereiche zuzugreifen. Dies geschieht durch eine speziell konstruierte HTML-Seite, die WebRTC-Funktionen aufruft.
Der Angreifer muss das Opfer zum Besuch einer bösartigen Website verleiten. Über die WebRTC-Schnittstelle wird dann eine Speicherfreigabe getriggert, während die Komponente noch auf diesen Speicher referenziert. Dies ermöglicht Code-Ausführung mit Chrome-Prozessrechten.
Empfohlene Massnahmen
Sofort durchführen:
- Chrome auf Version 148.0.7778.179 oder höher aktualisieren
- Automatische Updates aktivieren
- Linux-Systeme mit Chrome auf Aktualisierungen überprüfen
Zusätzliche Sicherheitsmassnahmen:
- WebRTC-Leaks durch Browser-Erweiterungen blockieren, falls nicht benötigt
- Nutzer schulen, verdächtige Websites zu vermeiden
- Webseiten-Zugriffe durch Web-Filter kontrollieren
- Systemlogs auf verdächtige Chrome-Prozessaktivitäten monitoren
Bewertung
Diese Schwachstelle erfordert sofortige Aufmerksamkeit. Mit einem CVSS-Score von 8.8 und kritischer Chromium-Einstufung besteht hohes Ausnutzungsrisiko. Die Kombination aus einfacher Ausnutzbarkeit (bösartige Website) und maximaler Schadensfolge (Code-Ausführung) macht eine schnelle Patch-Deployment essentiell.
„`