Google hat erneut zeigen müssen, dass Zero-Day-Schwachstellen ein anhaltend kritisches Sicherheitsrisiko darstellen. Die beiden neu gepatchten Lücken CVE-2026-3909 und CVE-2026-3910 wurden bereits aktiv ausgenutzt, bevor Google die Fixes bereitstellte. Dabei handelt es sich um hochgradig kritische Vulnerabilities in den zentralen Komponenten Skia (Grafik-Engine) und V8 (JavaScript-Engine) von Chrome.
Besonders besorgniserregend ist die Häufigkeit solcher Angriffe: Seit Jahresbeginn 2026 hat Google bereits drei aktiv ausgenutzte Zero-Days in Chrome gestopft. Anfang März kam noch CVE-2026-2441 hinzu, eine Use-After-Free-Schwachstelle in der CSS-Komponente mit einem CVSS-Score von 8,8, die ebenfalls bereits im Einsatz war.
Google gibt standardmäßig keine Details über die Exploitationsmethoden preis, um zu verhindern, dass andere Cyberkriminelle die Lücken nachnutzen können. Dies ist eine bewährte Praxis im Sicherheitsmanagement, schützt aber auch Angreifer, die bereits Exploits entwickelt haben, vor zusätzlicher Konkurrenz.
Für deutschen Nutzer und Unternehmen ist das schnelle Handeln essentiell. Chrome sollte auf die Versionen 146.0.7680.75/76 (Windows und macOS) beziehungsweise 146.0.7680.75 (Linux) aktualisiert werden. Die Aktualisierung kann über “Menü > Hilfe > Über Google Chrome” erfolgt, wo automatisch eine Prüfung stattfindet.
Auch Nutzer von Chromium-basierten Browsern wie Microsoft Edge, Brave, Opera und Vivaldi sollten wachsam sein. Diese Browser teilen denselben Code-Kern und könnten ähnliche Schwachstellen aufweisen. Updates sollten prioritär installiert werden, sobald sie verfügbar sind.
Die wiederholten Zero-Day-Exploits unterstreichen, dass selbst große Tech-Konzerne mit ihrer umfangreichen Sicherheitsinfrastruktur kaum vor gezielten Angriffen schützen können. Für Nutzer bleibt regelmäßiges Aktualisieren die wichtigste Verteidigungslinie.