„`html
Zusammenfassung
CVE-2026-9120 ist eine Use-After-Free-Schwachstelle in der WebRTC-Implementierung von Google Chrome vor Version 148.0.7778.179. Die Lücke ermöglicht es Angreifern, über speziell präparierte HTML-Seiten beliebigen Code mit den Rechten des Chrome-Prozesses auszuführen. Mit einem CVSS-Score von 8.8 handelt es sich um eine kritische Sicherheitslücke mit Netzwerkangriffsvektor.
Betroffene Systeme
Betroffen sind alle Installationen von Google Chrome vor Version 148.0.7778.179 auf Windows, macOS und Linux. Die Lücke beeinflusst sowohl Desktop- als auch mobile Varianten des Browsers. Systemadministratoren sollten ihre Umgebungen überprüfen, da Chrome-Installationen mit automatischen Updates teilweise bereits auf sichere Versionen aktualisiert wurden.
Technische Details
Eine Use-After-Free-Schwachstelle tritt auf, wenn ein Speicherbereich nach seiner Freigabe noch verwendet wird. In diesem Fall liegt das Problem in der WebRTC-Komponente vor. Ein Angreifer kann durch Manipulation des Speicherzustands über eine speziell konstruierte HTML-Seite diese Schwachstelle ausnutzen. Der WebRTC-Datenstrom wird dabei so manipuliert, dass bereits freigegebene Speicherobjekte erneut referenziert werden, wodurch Code-Ausführung möglich wird.
Empfohlene Massnahmen
Patch: Aktualisieren Sie Google Chrome sofort auf Version 148.0.7778.179 oder höher. Dies kann über Einstellungen > Über Google Chrome erfolgen.
Workarounds: Deaktivieren Sie WebRTC temporär in Chrome (chrome://flags/#enable-webrtc), sofern die Funktion nicht kritisch ist.
Monitoring: Überwachen Sie Netzwerk-Traffic auf verdächtige WebRTC-Verbindungen und implementieren Sie Web Application Firewalls mit WebRTC-Filterung.
Bewertung
Die hohe Schweregrad-Einstufung (CVSS 8.8) und der Netzwerkangriffsvektor erfordern sofortige Maßnahmen. Die fehlbare Patch-Verfügbarkeit bei Veröffentlichung macht eine proaktive Kommunikation mit Benutzern notwendig. Unternehmen sollten Chrome-Updates mit höchster Priorität implementieren.
„`