Die zweite kritische Lücke trägt die Kennung CVE-2026-8510 und beschreibt einen Integer-Overflow in der Grafikbibliothek Skia. Der meldende Sicherheitsforscher erhielt dafür eine Prämie von 25.000 US-Dollar.
Die übrigen zwölf kritischen Schwachstellen wurden nach Angaben von Google allesamt intern vom Unternehmen selbst entdeckt. Darunter befinden sich acht Use-after-free-Fehler in den Komponenten UI, FileSystem, Input, Aura, HID, Blink, Tab Groups und Downloads. Hinzu kommen eine unzureichende Prüfung nicht vertrauenswürdiger Eingaben in DataTransfer, ein Problem im Objektlebenszyklus von WebShare, ein Integer-Overflow in ANGLE sowie eine Race Condition in Payments.
Über die kritischen Lücken hinaus schließt das Update 37 Schwachstellen mit hohem Schweregrad. Dabei handelt es sich unter anderem um mehrere Use-after-free-Fehler sowie um Out-of-bounds-Write-, Heap-Buffer-Overflow-, Integer-Overflow-, Out-of-bounds-Read- und Type-Confusion-Fehler, zudem um unzureichende Eingabeprüfung und mangelhafte Durchsetzung von Richtlinien.
Für vier dieser hochstufigen Schwachstellen zahlte Google nach eigenen Angaben 44.000 US-Dollar an Prämien, die beiden höchsten Auszahlungen lagen bei 25.000 und 10.000 US-Dollar. Die endgültige Summe könnte höher ausfallen, da das Unternehmen die Beträge für mehrere weitere Schwachstellen noch nicht offengelegt hat.
Auch Firefox erhielt ein Sicherheitsupdate: Die aktuelle Version 150.0.3 behebt fünf Schwachstellen mit hohem Schweregrad in den Komponenten JIT, WebAssembly, JavaScript Engine und Profile Backup.