SchwachstellenHackerangriffe

Google patcht zwei aktiv ausgenutzte Chrome-Sicherheitslücken

Google patcht zwei aktiv ausgenutzte Chrome-Sicherheitslücken
Zusammenfassung

Google hat erneut zwei kritische Sicherheitslücken in Chrome geschlossen, die bereits aktiv von Angreifern ausgenutzt werden. Bei den Schwachstellen CVE-2026-3909 und CVE-2026-3910 handelt es sich um sogenannte Zero-Days, also bislang unbekannte Lücken, die Cyberkriminelle bereits im Wildnis ausnutzen, bevor Google sie patchen konnte. Die erste Lücke betrifft die Skia-Grafikbibliothek und könnte Angreifern ermöglichen, den Browser zum Absturz zu bringen oder Code auszuführen. Die zweite liegt in der V8-JavaScript-Engine vor. Google hat die Patches in Rekordzeit innerhalb von zwei Tagen nach Bekanntwerden bereitgestellt und rollt diese schrittweise auf Windows, macOS und Linux aus. Für deutsche Nutzer, Unternehmen und Behörden ist eine zeitnahe Aktualisierung essentiell, da Chrome weltweit der meistgenutzte Browser ist. Besonders Organisationen sollten ihre Systeme schnell patchen, um das Risiko von Cyberattacken zu minimieren. Dies ist bereits der zweite und dritte aktiv ausgenutzte Chrome-Zero-Day im Jahr 2026 und unterstreicht die wachsende Bedrohungslage in der digitalen Sicherheitslandschaft.

Zwei neue Zero-Day-Sicherheitslücken in Google Chrome werden bereits von Angreifern ausgenutzt. Das Unternehmen bestätigte in einer Security Advisory, dass Exploits für CVE-2026-3909 und CVE-2026-3910 in aktiven Angriffsszenarien eingesetzt werden.

Die erste Sicherheitslücke (CVE-2026-3909) ist ein Out-of-Bounds-Write-Fehler in Skia, einer Open-Source-2D-Graphics-Library, die für das Rendern von Webinhalten und Benutzeroberflächen-Elementen zuständig ist. Angreifer können diese Schwachstelle ausnutzen, um den Browser zum Absturz zu bringen oder sogar Code auszuführen. Die zweite Lücke (CVE-2026-3910) wird als unangemessene Implementierungsschwachstelle in Googles V8 JavaScript- und WebAssembly-Engine beschrieben.

Google patchte beide Sicherheitslücken bemerkenswert schnell: Innerhalb von zwei Tagen nach der Entdeckung wurden Updates bereitgestellt. Die neuen Versionen 146.0.7680.75 (Windows und Linux) sowie 146.0.7680.76 (macOS) rollten zeitnah aus und waren bereits bei Veröffentlichung verfügbar. Das Unternehmen warnt jedoch, dass der Out-of-Band-Update mehrere Tage oder Wochen benötigen kann, um alle Nutzer zu erreichen.

Deutsche Unternehmen und private Nutzer sollten ihre Chrome-Installation umgehend prüfen und aktualisieren. Die automatische Update-Funktion kann in den Einstellungen aktiviert werden, um Patches beim nächsten Start zu installieren.

Obwohl Google Belege dafür hat, dass Angreifer diese Lücken bereits ausnutzen, gibt das Unternehmen keine weiteren Details preis. Dies ist standardmäßig, bis die Mehrheit der Nutzer aktualisiert ist oder die Schwachstelle in Third-Party-Bibliotheken behoben wird.

Dies sind die zweite und dritte aktiv ausgenutzte Chrome-Zero-Day seit Jahresbeginn 2026. Die erste, CVE-2026-2441, war ein Iterator-Invalidation-Bug in CSSFontFeatureValuesMap und wurde Mitte Februar gepatcht.

Im Jahr 2025 patchte Google insgesamt acht in der Wildnis ausgenutzte Zero-Days. Viele wurden von Googles Threat Analysis Group (TAG) identifiziert, die auf Spyware-Angriffe spezialisiert ist. Parallel gab Google bekannt, dass es 2025 über 17 Millionen US-Dollar an 747 Sicherheitsforscher zahlte, die Schwachstellen über sein Vulnerability Reward Program meldeten.

Ähnliche Artikel