Google hat ein außerplanmäßiges Sicherheitsupdate für Chrome bereitgestellt und darin zwei Schwachstellen mit hohem Schweregrad behoben. Nach Darstellung des Unternehmens werden beide Lücken bereits aktiv ausgenutzt. „Google ist bekannt, dass für CVE-2026-3909 und CVE-2026-3910 Exploits in freier Wildbahn existieren", teilte der Konzern mit.

Die beiden Schwachstellen betreffen die Grafikbibliothek Skia und die JavaScript-Engine V8 – zwei zentrale Komponenten des Browsers. Entdeckt und gemeldet wurden sie von Google selbst, datiert auf den 10. März 2026.

Wie in derartigen Fällen üblich, macht Google keine Angaben dazu, auf welche Weise die Lücken angegriffen werden und welche Akteure dahinterstehen. Damit soll vermieden werden, dass andere Angreifer die Schwachstellen ausnutzen, bevor ein Großteil der Nutzer die Korrekturen eingespielt hat.

Das Update folgt weniger als einen Monat auf einen früheren Patch: Damals hatte Google einen ebenfalls als hochgradig kritisch eingestuften Use-after-free-Fehler in der CSS-Komponente von Chrome geschlossen (CVE-2026-2441, CVSS-Wert 8.8), der gleichfalls als Zero-Day ausgenutzt worden war. Damit hat das Unternehmen seit Jahresbeginn insgesamt drei aktiv missbrauchte Chrome-Zero-Days behoben.

Für den bestmöglichen Schutz sollten Nutzer Chrome auf die Versionen 146.0.7680.75/76 unter Windows und Apple macOS sowie 146.0.7680.75 unter Linux aktualisieren. Ob die aktuellen Updates installiert sind, lässt sich über das Menü „Mehr" > „Hilfe" > „Über Google Chrome" prüfen; anschließend startet die Funktion „Neu starten" den Browser mit der aktualisierten Version.

Wer einen anderen auf Chromium basierenden Browser einsetzt – etwa Microsoft Edge, Brave, Opera oder Vivaldi –, sollte die jeweiligen Korrekturen einspielen, sobald sie verfügbar sind.