Live
* [CVE-2026-40092] High 🟠 CVE-2026-40092: High Schwachstelle* [CVE-2026-9144] High 🟠 CVE-2026-9144: High Schwachstelle* [CVE-2026-40165] High 🟠 CVE-2026-40165: High Schwachstelle* [CVE-2026-9141] Critical 🔴 CVE-2026-9141: Critical Schwachstelle* Grafana breach caused by missed token rotation after TanStack attack* Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt* ⚡ Weekly Recap: Exchange 0-Day, npm Worm, Fake AI Repo, Cisco Exploit and More* INTERPOL Operation Ramz Disrupts MENA Cybercrime Networks with 201 Arrests* The New Phishing Click: How OAuth Consent Bypasses MFA* Agent AI is Coming. Are You Ready?* [CVE-2026-40092] High 🟠 CVE-2026-40092: High Schwachstelle* [CVE-2026-9144] High 🟠 CVE-2026-9144: High Schwachstelle* [CVE-2026-40165] High 🟠 CVE-2026-40165: High Schwachstelle* [CVE-2026-9141] Critical 🔴 CVE-2026-9141: Critical Schwachstelle* Grafana breach caused by missed token rotation after TanStack attack* Grafana GitHub Token Breach Led to Codebase Download and Extortion Attempt* ⚡ Weekly Recap: Exchange 0-Day, npm Worm, Fake AI Repo, Cisco Exploit and More* INTERPOL Operation Ramz Disrupts MENA Cybercrime Networks with 201 Arrests* The New Phishing Click: How OAuth Consent Bypasses MFA* Agent AI is Coming. Are You Ready?
Medium 21. Mai 2026

🟠 CVE-2026-9118: High Schwachstelle

„`html

Zusammenfassung

CVE-2026-9118 ist eine kritische Use-After-Free-Schwachstelle in der XR-Implementierung (Extended Reality) von Google Chrome unter Windows. Diese Speicherverwaltungslücke ermöglicht es Angreifern, durch manipulierte HTML-Seiten beliebigen Code mit den Privilegien des Chrome-Prozesses auszuführen. Mit einem CVSS-Score von 8.8 wird die Sicherheitslücke als hochgradig kritisch eingestuft.

Betroffene Systeme

Betroffen sind Google Chrome-Versionen vor 148.0.7778.179 auf Windows-Systemen. Die Schwachstelle betrifft Chrome-Installationen unabhängig von der Hardware-Architektur. Benutzer mit älteren Chrome-Versionen sollten sofort handeln.

Technische Details

Die Schwachstelle liegt in der XR-Subsystem-Komponente Chromes. Ein Use-After-Free-Fehler tritt auf, wenn Speicher freigegeben wird, aber noch aktive Pointer darauf zugreifen. Ein Angreifer kann eine speziell crafted HTML-Seite erstellen, die diese Speicherlücke ausnutzt. Beim Laden der Seite wird der Browser zum Zugriff auf den bereits freigegebenen Speicher veranlasst, was die Codeausführung ermöglicht. Da XR-APIs häufig mit niedriger Ebenen-Hardware-Zugriff arbeiten, kann ein erfolgreicher Exploit erhebliche Systemkonsequenzen haben.

Empfohlene Massnahmen

Bewertung

Die Sicherheitslücke erfordert sofortiges Handeln. Das Netzwerk-Angriffsvektor bedeutet, dass bereits der Besuch einer kompromittierten Website zur Ausführung von Malware führt. Die hohe Kritikalität, kombiniert mit fehlender Patch-Verfügbarkeit zum Zeitpunkt der CVE-Veröffentlichung, macht dies zu einer prioritären Bedrohung für Unternehmen und Einzelnutzer.

„`

Automatisch aggregiert von HuntingThreats am 21.05.2026
Alle CVEs ansehen