„`html
Zusammenfassung
CVE-2026-9119 beschreibt einen Heap Buffer Overflow in der WebRTC-Implementierung von Google Chrome (Versionen vor 148.0.7778.179). Die Schwachstelle ermöglicht es einem entfernten Angreifer, über eine präparierte HTML-Seite beliebigen Code innerhalb der Chrome-Sandbox auszuführen. Mit einem CVSS-Score von 8.8 wird diese Lücke als „High“ eingestuft.
Betroffene Systeme
Primär betroffen sind alle Google Chrome-Installationen vor Version 148.0.7778.179 auf verschiedenen Plattformen (Windows, macOS, Linux). Dies umfasst auch Chromium-basierte Browser wie Edge, Opera und weitere Derivate. Enterprise-Umgebungen mit zentral verwalteten Chrome-Deployments sind besonders kritisch zu betrachten.
Technische Details
Der Heap Buffer Overflow tritt in der WebRTC-Signalisierungs- oder Medienverarbeitungslogik auf. Ein Angreifer kann durch manipulierte HTML-Seiten mit speziell crafted WebRTC-Payloads Speichergrenzen überschreiben. Obwohl die Ausführung in der Sandbox stattfindet, ermöglicht dies potenziell Sandbox-Escapes oder Privilege-Escalation-Szenarien. Der Network-basierte Angriffsvektor erfordert lediglich, dass das Opfer die bösartige Webseite besucht.
Empfohlene Massnahmen
Patch: Google hat bislang keinen Patch veröffentlicht. Eine umgehende Update auf Chrome 148.0.7778.179 oder höher ist zwingend erforderlich, sobald verfügbar.
Interim-Massnahmen: Deaktivieren Sie WebRTC-Funktionen via Chrome-Flags (chrome://flags) oder nutzen Sie Browser-Erweiterungen zur Kontrolle von WebRTC-Leak. Implementieren Sie Content Security Policy (CSP) auf unternehmensweiten Webseiten.
Monitoring: Überwachen Sie Chrome-Versionen in Ihrem Netzwerk. Implementieren Sie Endpoint Detection & Response (EDR) zur Detektion ungewöhnlicher Chrome-Prozessaktivität.
Bewertung
Höchste Priorität. Die Kombination aus hohem CVSS-Score, aktiver Ausnutzbarkeit und fehlendem Patch erfordert sofortige Massnahmen. Unternehmen sollten Chrome-Updates als kritisch einstufen und schnellstmöglich deployen.
„`