CVE-2026-9877
NVD · · CVE-2026-9877
Kennzahlen
- EPSS
- 0%
Key Insight
Die Schwachstelle erfordert zunächst einen kompromittierten Renderer-Prozess und ist daher kein direktes Remote-Code-Execution-Szenario ohne vorherige Kompromittierung.
Beschreibung
CVE-2026-9877 ist eine Use-after-free-Schwachstelle im ANGLE-Rendering-Engine-Modul von Google Chrome (vor Version 148.0.7778.216). Ein Angreifer, der bereits den Renderer-Prozess kompromittiert hat, könnte diese Lücke ausnutzen, um die Chrome-Sandbox zu entkommen und beliebigen Code mit erweiterten Privilegien auszuführen. Chromium hat die Sicherheitsschwere mit "Critical" bewertet. Der Vektor erfordert zunächst einen erfolgreichen Angriff auf den Renderer-Prozess (z. B. über bösartige HTML), weshalb es sich um ein mehrstufiges Angriffszenario handelt.
Risk Score
- cvss base
- 45.00
- kev bonus
- 0.00
- epss bonus
- 0.00
- poc bonus
- 0.00
- raw before weight
- 45.00
- industry weight
- 1.21
- freshness factor
- 1.00
- days old
- 0.00
- vendor mismatch penalty
- 0.00
Pfad: operational
MITRE ATT&CK Mapping
2 TTPsProcedure-Details
| Technik | Tactic | Procedure | Conf. | Quelle |
|---|---|---|---|---|
| T1203 Exploitation for Client Execution | Execution | A use-after-free vulnerability in ANGLE (Google Chrome's graphics layer) is exploited via a crafted HTML page to compromise the renderer process in Chrome versions prior to 148.0.7778.216. | high | llm |
| T1211 Exploitation for Defense Evasion | Defense Evasion | The use-after-free vulnerability in Chrome's ANGLE component is leveraged by an attacker who has already compromised the renderer process to escape the browser sandbox, bypassing the sandboxing security boundary. | high | llm |